ESET Research rivela un profilo dettagliato di TA410, un gruppo di spionaggio informatico che collabora vagamente con APT10. È noto che questo ha preso di mira le organizzazioni statunitensi nel settore dei servizi pubblici e le organizzazioni diplomatiche in Medio Oriente e Africa.
I ricercatori del produttore europeo di sicurezza IT presumono che questo gruppo sia composto da tre diversi team che utilizzano diversi set di strumenti. Questo toolbox include anche una nuova versione di FlowCloud. Questa è una backdoor molto complessa con ampie capacità di spionaggio. ESET presenterà le sue ultime scoperte su TA410, inclusi i risultati della ricerca in corso, durante Botconf 2022.
Obiettivi di TA410: diplomatici e militari
La maggior parte degli obiettivi TA410 sono di alto profilo e includono diplomatici, università e installazioni militari. ESET è stata in grado di identificare una grande azienda industriale tra le vittime in Asia e una società mineraria in India. In Israele, gli autori stavano prendendo di mira un ente di beneficenza. In Cina, TA410 sembra rivolgersi principalmente agli stranieri.
Istituzione del gruppo di spionaggio
I sottogruppi di TA410 identificati da ESET, denominati FlowingFrog, LookingFrog e JollyFrog, presentano sovrapposizioni in termini di TTP, vittimologia e infrastruttura di rete. I ricercatori ESET ipotizzano inoltre che questi sottogruppi operino in modo in qualche modo indipendente ma possano condividere requisiti di informazioni comuni, un team di accesso che gestisce le loro campagne di spearphishing e anche il team che imposta l'infrastruttura di rete.
Le capacità di spionaggio di FlowCloud
L'attacco viene solitamente effettuato sfruttando le vulnerabilità in applicazioni standard come Microsoft Exchange o inviando e-mail di spear phishing contenenti documenti dannosi. “Le vittime saranno specificamente prese di mira da TA410. Gli aggressori si affidano al metodo di attacco più promettente secondo la vittima per infiltrarsi efficacemente nel sistema di destinazione", spiega il ricercatore di malware ESET Alexandre Côté Cyr. Sebbene i ricercatori ESET ritengano che questa versione di FlowCloud utilizzata dal team FlowingFrog sia ancora in fase di sviluppo e test. Le funzionalità di spionaggio informatico di questa versione includono la possibilità di raccogliere movimenti del mouse, attività della tastiera e contenuto degli appunti insieme alle informazioni sulla finestra in primo piano corrente. Queste informazioni possono aiutare gli aggressori a comprendere meglio i dati rubati contestualizzandoli.
Ma FlowCloud può fare molto di più: la funzione spia è in grado di scattare foto con l'ausilio della webcam collegata o della fotocamera integrata o di registrare conversazioni inosservate tramite il microfono di notebook o webcam. "Quest'ultima funzione viene attivata automaticamente da qualsiasi suono al di sopra di una soglia di 65 decibel, che è nella gamma superiore del normale volume di conversazione", continua Côté Cyr.
TA410 è attivo almeno dal 2018 ed è stato pubblicato per la prima volta da Proofpoint nel suo post sul blog LookBack nell'agosto 2019. Un anno dopo, anche l'allora nuova e molto complessa famiglia di malware denominata FlowCloud è stata attribuita al gruppo TA410.
Altro su ESET.com
Informazioni su ESET ESET è una società europea con sede a Bratislava (Slovacchia). Dal 1987, ESET sviluppa software di sicurezza pluripremiati che hanno già aiutato oltre 100 milioni di utenti a usufruire di tecnologie sicure. L'ampio portafoglio di prodotti per la sicurezza copre tutte le principali piattaforme e offre alle aziende e ai consumatori di tutto il mondo il perfetto equilibrio tra prestazioni e protezione proattiva. L'azienda ha una rete di vendita globale in oltre 180 paesi e uffici a Jena, San Diego, Singapore e Buenos Aires. Per maggiori informazioni visita www.eset.de o seguici su LinkedIn, Facebook e Twitter.