ESET Araştırması, APT410 ile gevşek işbirliği yapan bir siber casusluk grubu olan TA10'un ayrıntılı bir profilini ortaya koyuyor. Bunun kamu hizmeti sektöründeki ABD kuruluşlarını ve Orta Doğu ve Afrika'daki diplomatik kuruluşları hedef aldığı bilinmektedir.
Avrupa BT güvenlik üreticisindeki araştırmacılar, bu grubun farklı araç setleri kullanan üç farklı ekipten oluştuğunu varsaymaktadır. Bu araç kutusu ayrıca FlowCloud'un yeni bir sürümünü içerir. Bu, kapsamlı casusluk yeteneklerine sahip çok karmaşık bir arka kapıdır. ESET, TA410 hakkındaki en son bulgularını, devam eden araştırmaların sonuçları da dahil olmak üzere, Botconf 2022'de sunacak.
TA410'un hedefleri: diplomatlar ve ordu
TA410 hedeflerinin çoğu yüksek profillidir ve diplomatları, üniversiteleri ve askeri tesisleri içerir. ESET, Asya'daki kurbanlar arasında büyük bir sanayi şirketi ve Hindistan'da bir madencilik şirketi tespit edebildi. İsrail'de failler bir hayır kurumunu hedef alıyordu. Çin'de TA410, öncelikle yabancıları hedefliyor gibi görünüyor.
eSpionage grubunun kurulması
ESET tarafından tanımlanan ve FlowingFrog, LookingFrog ve JollyFrog olarak adlandırılan TA410 alt gruplarının TTP'lerde, mağduriyette ve ağ altyapısında çakışmaları vardır. ESET araştırmacıları ayrıca, bu alt grupların biraz bağımsız çalıştıklarını ancak ortak bilgi gereksinimlerini, hedef odaklı kimlik avı kampanyalarını yürüten bir erişim ekibini ve ayrıca ağ altyapısını kuran ekibi paylaşabileceklerini öne sürüyor.
FlowCloud'un casusluk yetenekleri
Saldırı genellikle Microsoft Exchange gibi standart uygulamalardaki güvenlik açıklarından yararlanılarak veya kötü amaçlı belgeler içeren hedef odaklı kimlik avı e-postaları gönderilerek gerçekleştirilir. “Kurbanlar, TA410 tarafından özel olarak hedeflenecek. ESET kötü amaçlı yazılım araştırmacısı Alexandre Côté Cyr, "Saldırganlar, hedef sisteme etkili bir şekilde sızmak için kurbana göre en umut verici saldırı yöntemini kullanıyor" diye açıklıyor. ESET araştırmacıları, FlowCloud'un FlowingFrog ekibi tarafından kullanılan bu versiyonunun hala geliştirme ve test aşamasında olduğuna inansa da. Bu sürümün siber casusluk yetenekleri, geçerli ön plan penceresi hakkında bilgilerle birlikte fare hareketi, klavye etkinliği ve pano içeriği toplama yeteneğini içerir. Bu bilgiler, saldırganların çalınan verileri bağlamsallaştırarak daha iyi anlamalarına yardımcı olabilir.
Ancak FlowCloud çok daha fazlasını yapabilir: casus işlevi, bağlı web kamerası veya entegre kamera yardımıyla fotoğraf çekebilir veya dizüstü bilgisayarların veya web kameralarının mikrofonu aracılığıyla konuşmaları fark edilmeden kaydedebilir. Côté Cyr, "İkinci işlev, normal konuşma ses yüksekliğinin üst aralığında bulunan 65 desibellik bir eşiğin üzerindeki herhangi bir ses tarafından otomatik olarak tetiklenir" diye devam ediyor.
TA410, en az 2018'den beri aktiftir ve ilk olarak Proofpoint tarafından Ağustos 2019'da LookBack blog gönderisinde yayınlandı. Bir yıl sonra, FlowCloud adlı yeni ve çok karmaşık kötü amaçlı yazılım ailesi de TA410 grubuna atfedildi.
Daha fazlası ESET.com'da
ESET Hakkında ESET, merkezi Bratislava'da (Slovakya) bulunan bir Avrupa şirketidir. 1987'den beri ESET, 100 milyondan fazla kullanıcının güvenli teknolojilerden yararlanmasına yardımcı olan ödüllü güvenlik yazılımı geliştirmektedir. Geniş güvenlik ürünleri portföyü, tüm büyük platformları kapsar ve dünya çapındaki işletmelere ve tüketicilere performans ile proaktif koruma arasında mükemmel bir denge sunar. Şirketin 180'den fazla ülkede küresel bir satış ağı ve Jena, San Diego, Singapur ve Buenos Aires'te ofisleri bulunmaktadır. Daha fazla bilgi için www.eset.de adresini ziyaret edin veya bizi LinkedIn, Facebook ve Twitter'da takip edin.