Een cyberspionage-dreigingsactor die bekend staat om zijn aanvallen op een verscheidenheid aan kritieke infrastructuursectoren in Afrika, het Midden-Oosten en de VS, is waargenomen met behulp van een verbeterde versie van een trojan voor externe toegang met mogelijkheden om informatie te stelen.
Roeping TA410 een overkoepelende groep bestaande uit drie teams genaamd FlowingFrog, LookingFrog en JollyFrog, het Slowaakse cyberbeveiligingsbedrijf ESET beoordeeld dat “deze subgroepen enigszins onafhankelijk opereren, maar dat ze inlichtingenvereisten kunnen delen, een toegangsteam dat hun spear-phishing-campagnes uitvoert, en ook het team dat netwerkinfrastructuur implementeert.”
TA410 – zou gedrags- en tooling-overlappingen delen met APT10 (ook bekend als Stone Panda of TA429) — heeft een geschiedenis van het richten op in de VS gevestigde organisaties in de nutssector, evenals op diplomatieke entiteiten in het Midden-Oosten en Afrika.
Andere slachtoffers van het hackercollectief zijn een productiebedrijf in Japan, een mijnbouwbedrijf in India en een liefdadigheidsinstelling in Israël, naast niet nader genoemde slachtoffers in het onderwijs en de militaire sector.
TA410 was eerst gedocumenteerd door Proofpoint in augustus 2019 toen de dreigingsactor phishing-campagnes ontketende met macro-beladen documenten om nutsbedrijven in de VS te compromitteren met een modulaire malware genaamd LookBack.
Bijna een jaar later keerde de groep terug met een nieuwe achterdeur met de codenaam FlowCloud, ook geleverd aan Amerikaanse nutsbedrijven, die Proofpoint omschreef als malware die aanvallers volledige controle geeft over geïnfecteerde systemen.
“De RAT-functionaliteit (Remote Access Trojan) omvat de mogelijkheid om toegang te krijgen tot geïnstalleerde applicaties, het toetsenbord, de muis, het scherm, bestanden, services en processen met de mogelijkheid om informatie te exfiltreren via command-and-control”, zegt het bedrijf. dat is genoteerd in juni 2020.
Het industriële cyberbeveiligingsbedrijf Dragos, dat de activiteitengroep volgt onder de naam TALONITE, wees op de voorliefde van de groep voor het combineren van technieken en tactieken om een succesvolle inbraak te verzekeren.
“TALONITE richt zich op het ondermijnen en misbruiken van vertrouwen met phishing-lokmiddelen gericht op engineering-specifieke thema’s en concepten, malware die misbruik maakt van anderszins legitieme binaire bestanden of dergelijke binaire bestanden aanpast om extra functionaliteit toe te voegen, en een combinatie van eigen en gecompromitteerde netwerkinfrastructuur,” Dragos zei in april 2021.
ESET’s onderzoek naar de modus operandi en toolset van de hackploeg heeft licht geworpen op een nieuwe versie van FlowCloud, die wordt geleverd met de mogelijkheid om audio op te nemen met de microfoon van een computer, klembordgebeurtenissen te volgen en aangesloten camera-apparaten te bedienen om foto’s te maken.
In het bijzonder is de audio-opnamefunctie ontworpen om automatisch te worden geactiveerd wanneer het geluidsniveau in de buurt van de gecompromitteerde computer een drempel van 65 decibel overschrijdt.
Het is ook bekend dat TA410 profiteert van zowel spear-phishing als kwetsbare internetgerichte toepassingen zoals Microsoft Exchange, SharePoint en SQL Servers om de eerste toegang te krijgen.
“Dit geeft voor ons aan dat hun slachtoffers specifiek het doelwit zijn, waarbij de aanvallers kiezen welke toegangsmethode de beste kans heeft om het doelwit te infiltreren”, Alexandre Côté Cyr, malware-onderzoeker van ESET zei.
Elk team binnen de TA410-paraplu zou verschillende toolsets gebruiken. Terwijl JollyFrog vertrouwt op kant-en-klare malware zoals QuasarRAT en Korplug (ook bekend als PlugX), gebruikt LookingFrog X4, een barebones-implantaat, en LookBack.
FlowingFrog daarentegen gebruikt een downloader genaamd Tendyron die wordt geleverd door middel van de Royal Road RTF-wapens, die het gebruikt om FlowCloud te downloaden, evenals een tweede achterdeur, die is gebaseerd op Gh0stRAT (ook bekend als Farfli).
“TA410 is een cyberspionage-paraplu die zich richt op spraakmakende entiteiten zoals overheden en universiteiten over de hele wereld”, aldus ESET. “Hoewel het JollyFrog-team generieke tools gebruikt, hebben FlowingFrog en LookingFrog toegang tot complexe implantaten zoals FlowCloud en LookBack.”
