Дослідження ESET розкривають детальний профіль TA410, групи кібершпигунства, яка вільно співпрацює з APT10. Відомо, що це спрямовано на організації США в комунальному секторі та дипломатичні організації на Близькому Сході та в Африці.
Дослідники європейського виробника ІТ-безпеки припускають, що ця група складається з трьох різних команд, які використовують різні набори інструментів. Цей інструментарій також містить нову версію FlowCloud. Це дуже складний бекдор із широкими шпигунськими можливостями. ESET представить свої останні висновки щодо TA410, включаючи результати поточних досліджень, під час Botconf 2022.
Цілі TA410: дипломати та військові
Більшість цілей TA410 є резонансними та включають дипломатів, університети та військові об’єкти. ESET вдалося ідентифікувати серед жертв велику промислову компанію в Азії та гірничодобувну компанію в Індії. В Ізраїлі зловмисники мали на меті благодійну організацію. У Китаї TA410, здається, орієнтований насамперед на іноземців.
Створення групи еШпигунства
Підгрупи TA410, визначені ESET, які називаються FlowingFrog, LookingFrog і JollyFrog, збігаються в TTP, віктимології та мережевій інфраструктурі. Дослідники ESET також стверджують, що ці підгрупи працюють певною мірою незалежно, але можуть мати спільні вимоги до інформації, команду доступу, яка проводить їхні кампанії з підману, а також команду, яка налаштовує мережеву інфраструктуру.
Шпигунські можливості FlowCloud
Атака зазвичай здійснюється шляхом використання вразливостей у стандартних програмах, таких як Microsoft Exchange, або шляхом надсилання фішингових електронних листів, що містять шкідливі документи. «Жертви будуть спеціально націлені на TA410. Зловмисники покладаються на найбільш перспективний метод атаки на думку жертви, щоб ефективно проникнути в цільову систему», — пояснює дослідник зловмисного програмного забезпечення ESET Александр Коте Сір. Хоча дослідники ESET вважають, що ця версія FlowCloud, яку використовує команда FlowingFrog, все ще знаходиться на стадії розробки та тестування. Можливості кібершпигунства цієї версії включають можливість збирати рухи миші, дії клавіатури та вміст буфера обміну, а також інформацію про поточне вікно на передньому плані. Ця інформація може допомогти зловмисникам краще зрозуміти вкрадені дані шляхом контекстуалізації їх.
Але FlowCloud може зробити набагато більше: шпигунська функція може робити знімки за допомогою підключеної веб-камери чи вбудованої камери або непомітно записувати розмови через мікрофон ноутбуків чи веб-камер. «Остання функція автоматично активується будь-яким звуком, який перевищує порогове значення в 65 децибел, що знаходиться у верхньому діапазоні нормальної гучності розмови», — продовжує Коте Сир.
TA410 був активним принаймні з 2018 року, і вперше був опублікований Proofpoint у своєму блозі LookBack у серпні 2019 року. Через рік нове і дуже складне сімейство шкідливих програм під назвою FlowCloud також було віднесено до групи TA410.
Більше на ESET.com
Про ESET ESET – європейська компанія зі штаб-квартирою в Братиславі (Словаччина). З 1987 року ESET розробляє відзначене нагородами програмне забезпечення безпеки, яке вже допомогло понад 100 мільйонам користувачів користуватися безпечними технологіями. Широке портфоліо продуктів безпеки охоплює всі основні платформи та пропонує компаніям і споживачам у всьому світі ідеальний баланс між продуктивністю та проактивним захистом. Компанія має глобальну мережу продажів у понад 180 країнах і офіси в Єні, Сан-Дієго, Сінгапурі та Буенос-Айресі. Для отримання додаткової інформації відвідайте www.eset.de або слідкуйте за нами в LinkedIn, Facebook і Twitter.