A ESET Research revela um perfil detalhado do TA410, um grupo de espionagem cibernética que coopera livremente com o APT10. Isso é conhecido por visar organizações dos EUA no setor de serviços públicos e organizações diplomáticas no Oriente Médio e na África.
Os pesquisadores do fabricante europeu de segurança de TI assumem que esse grupo consiste em três equipes diferentes que usam conjuntos de ferramentas diferentes. Esta caixa de ferramentas também inclui uma nova versão do FlowCloud. Este é um backdoor muito complexo com amplas capacidades de espionagem. A ESET apresentará suas últimas descobertas sobre o TA410, incluindo os resultados da pesquisa em andamento, durante o Botconf 2022.
Alvos do TA410: diplomatas e militares
A maioria dos alvos TA410 são de alto perfil e incluem diplomatas, universidades e instalações militares. A ESET conseguiu identificar uma grande empresa industrial entre as vítimas na Ásia e uma mineradora na Índia. Em Israel, os perpetradores tinham como alvo uma instituição de caridade. Na China, o TA410 parece ter como alvo principal os estrangeiros.
Criação do grupo eSpionage
Os subgrupos de TA410 identificados pela ESET, referidos como FlowingFrog, LookingFrog e JollyFrog, têm sobreposições em TTPs, vitimologia e infraestrutura de rede. Os pesquisadores da ESET também postulam que esses subgrupos operam de forma independente, mas podem compartilhar requisitos de informações comuns, uma equipe de acesso que executa suas campanhas de spearphishing e também a equipe que configura a infraestrutura de rede.
Recursos de espionagem do FlowCloud
O ataque geralmente é realizado explorando vulnerabilidades em aplicativos padrão, como o Microsoft Exchange, ou enviando e-mails de spear phishing contendo documentos maliciosos. “As vítimas serão especificamente visadas pelo TA410. Os invasores contam com o método de ataque mais promissor de acordo com a vítima para se infiltrar efetivamente no sistema de destino”, explica o pesquisador de malware da ESET, Alexandre Côté Cyr. Embora os pesquisadores da ESET acreditem que esta versão do FlowCloud usada pela equipe do FlowingFrog ainda está em fase de desenvolvimento e teste. Os recursos de espionagem cibernética desta versão incluem a capacidade de coletar o movimento do mouse, a atividade do teclado e o conteúdo da área de transferência junto com informações sobre a janela atual em primeiro plano. Essas informações podem ajudar os invasores a entender melhor os dados roubados, contextualizando-os.
Mas o FlowCloud pode fazer muito mais: a função de espionagem é capaz de tirar fotos com a ajuda da webcam conectada ou da câmera integrada ou gravar conversas despercebidas pelo microfone de notebooks ou webcams. “A última função é acionada automaticamente por qualquer som acima de um limite de 65 decibéis, que está na faixa superior do volume normal de conversação”, continua Côté Cyr.
O TA410 está ativo desde pelo menos 2018 e foi publicado pela primeira vez pela Proofpoint em sua postagem no blog LookBack em agosto de 2019. Um ano depois, a então nova e muito complexa família de malware chamada FlowCloud também foi atribuída ao grupo TA410.
Mais em ESET.com
Sobre ESET A ESET é uma empresa europeia com sede em Bratislava (Eslováquia). Desde 1987, a ESET vem desenvolvendo software de segurança premiado que já ajudou mais de 100 milhões de usuários a desfrutar de tecnologias seguras. O amplo portfólio de produtos de segurança abrange todas as principais plataformas e oferece a empresas e consumidores em todo o mundo o equilíbrio perfeito entre desempenho e proteção proativa. A empresa possui uma rede global de vendas em mais de 180 países e escritórios em Jena, San Diego, Cingapura e Buenos Aires. Para mais informações, visite www.eset.de ou siga-nos no LinkedIn, Facebook e Twitter.