ESET Research は、APT410 と大まかに協力しているサイバースパイグループ TA10 の詳細なプロファイルを明らかにしました。 これは、公益事業部門の米国の組織と、中東およびアフリカの外交組織を標的にすることが知られています。
ヨーロッパの IT セキュリティ メーカーの研究者は、このグループが異なるツールセットを使用する 410 つの異なるチームで構成されていると想定しています。 このツールボックスには、新しいバージョンの FlowCloud も含まれています。 これは、広範なスパイ機能を備えた非常に複雑なバックドアです。 ESET は、Botconf 2022 で、進行中の研究結果を含む TAXNUMX に関する最新の調査結果を発表します。
TA410の標的:外交官と軍人
ほとんどの TA410 ターゲットは注目を集めており、外交官、大学、軍事施設が含まれます。 ESET は、被害者の中からアジアの大企業とインドの鉱業会社を特定することができました。 イスラエルでは、加害者は慈善団体を標的にしていました。 中国では、TA410 は主に外国人をターゲットにしているようです。
eSpionageグループの設立
FlowingFrog、LookingFrog、および JollyFrog と呼ばれる、ESET によって特定された TA410 のサブグループは、TTP、被害者学、およびネットワーク インフラストラクチャで重複しています。 また、ESET の研究者は、これらのサブグループはある程度独立して活動しているが、共通の情報要件、スピアフィッシング キャンペーンを実行するアクセス チーム、およびネットワーク インフラストラクチャをセットアップするチームを共有している可能性があると推測しています。
FlowCloud のスパイ機能
この攻撃は通常、Microsoft Exchange などの標準アプリケーションの脆弱性を悪用するか、悪意のあるドキュメントを含むスピア フィッシング メールを送信することによって実行されます。 「被害者は TA410 の標的にされます。 攻撃者は、ターゲット システムに効果的に侵入するために、被害者に応じて最も有望な攻撃方法に依存しています」と ESET マルウェア研究者の Alexandre Côté Cyr は説明します。 ESET の研究者は、FlowingFrog チームが使用するこのバージョンの FlowCloud は、まだ開発およびテスト段階にあると考えています。 このバージョンのサイバー スパイ機能には、現在のフォアグラウンド ウィンドウに関する情報と共に、マウスの動き、キーボード アクティビティ、およびクリップボードの内容を収集する機能が含まれます。 この情報は、攻撃者が盗まれたデータを文脈化することで理解を深めるのに役立ちます。
しかし、FlowCloud はさらに多くのことができます。スパイ機能は、接続された Web カメラまたは内蔵カメラを使用して写真を撮ったり、ノートブックまたは Web カメラのマイクを介して気づかれずに会話を記録したりできます。 「後者の機能は、通常の会話音量の上限である 65 デシベルのしきい値を超える音によって自動的にトリガーされます」と Côté Cyr は続けます。
TA410 は少なくとも 2018 年から活動しており、2019 年 410 月の LookBack ブログ投稿で Proofpoint によって最初に公開されました。 その XNUMX 年後、FlowCloud と呼ばれる当時新しく非常に複雑なマルウェア ファミリも TAXNUMX グループに起因することが判明しました。
詳細はESET.comで
ESETについて ESET は、ブラチスラバ (スロバキア) に本社を置くヨーロッパの会社です。 1987 年以来、ESET は受賞歴のあるセキュリティ ソフトウェアを開発しており、すでに 100 億人を超えるユーザーが安全なテクノロジを利用できるように支援しています。 セキュリティ製品の幅広いポートフォリオは、すべての主要なプラットフォームをカバーし、世界中の企業と消費者にパフォーマンスとプロアクティブな保護の完璧なバランスを提供します。 同社は 180 を超える国にグローバルな販売ネットワークを持ち、イエナ、サンディエゴ、シンガポール、ブエノスアイレスにオフィスを構えています。 詳細については、www.eset.de にアクセスするか、LinkedIn、Facebook、Twitter でフォローしてください。