Les experts détaillent 3 équipes de piratage travaillant sous l’égide du groupe TA410

Parapluie du groupe TA410 Des nouvelles

Un acteur de cyberespionnage connu pour cibler une variété de secteurs d’infrastructure critiques en Afrique, au Moyen-Orient et aux États-Unis a été observé en train d’utiliser une version améliorée d’un cheval de Troie d’accès à distance avec des capacités de vol d’informations.

Appel TA410 un groupe de coordination composé de trois équipes baptisées FlowingFrog, LookingFrog et JollyFrog, la société slovaque de cybersécurité ESET évalué que « ces sous-groupes fonctionnent de manière quelque peu indépendante, mais qu’ils peuvent partager des exigences en matière de renseignement, une équipe d’accès qui exécute leurs campagnes de harponnage, ainsi que l’équipe qui déploie l’infrastructure réseau ».

TA410 – censé partager des chevauchements comportementaux et d’outils avec APT10 (alias Stone Panda ou TA429) – a l’habitude de cibler des organisations basées aux États-Unis dans le secteur des services publics ainsi que des entités diplomatiques au Moyen-Orient et en Afrique.

Parmi les autres victimes du collectif de hackers figurent une entreprise manufacturière au Japon, une entreprise minière en Inde et une organisation caritative en Israël, en plus de victimes anonymes dans les secteurs de l’éducation et de l’armée.

TA410 était d’abord documenté par Proofpoint en août 2019 lorsque l’acteur malveillant a lancé des campagnes de phishing contenant des documents chargés de macros pour compromettre les fournisseurs de services publics à travers les États-Unis avec un malware modulaire appelé LookBack.

Près d’un an plus tard, le groupe est revenu avec une nouvelle porte dérobée nommée FlowCloud, également livrée aux fournisseurs de services publics américains, que Proofpoint a décrit comme un malware qui donne aux attaquants un contrôle total sur les systèmes infectés.

Groupe TA410

« Sa fonctionnalité de cheval de Troie d’accès à distance (RAT) inclut la possibilité d’accéder aux applications installées, au clavier, à la souris, à l’écran, aux fichiers, aux services et aux processus avec la possibilité d’exfiltrer des informations via la commande et le contrôle », a déclaré la société. c’est noté en juin 2020.

La société de cybersécurité industrielle Dragos, qui suit le groupe d’activités sous le nom de TALONITE, a souligné le penchant du groupe à mélanger techniques et tactiques afin d’assurer une intrusion réussie.

« TALONITE se concentre sur la subversion et l’exploitation de la confiance avec des leurres de phishing axés sur des thèmes et des concepts spécifiques à l’ingénierie, des logiciels malveillants qui abusent de binaires autrement légitimes ou modifient ces binaires pour inclure des fonctionnalités supplémentaires, et une combinaison d’infrastructures réseau détenues et compromises », Dragos mentionné en avril 2021.

Groupe TA410

L’enquête d’ESET sur le modus operandi et l’ensemble d’outils de l’équipe de piratage a mis en lumière une nouvelle version de FlowCloud, qui offre la possibilité d’enregistrer de l’audio à l’aide du microphone d’un ordinateur, de surveiller les événements du presse-papiers et de contrôler les appareils photo connectés pour prendre des photos.

Plus précisément, la fonction d’enregistrement audio est conçue pour se déclencher automatiquement lorsque les niveaux sonores à proximité de l’ordinateur compromis franchissent un seuil de 65 décibels.

Le TA410 est également connu pour tirer parti à la fois du harponnage et des applications Internet vulnérables telles que Microsoft Exchange, SharePoint et SQL Server pour obtenir un accès initial.

« Cela nous indique que leurs victimes sont ciblées spécifiquement, les attaquants choisissant quelle méthode d’entrée a les meilleures chances d’infiltrer la cible », a déclaré Alexandre Côté Cyr, chercheur sur les logiciels malveillants chez ESET. mentionné.

On dit que chaque équipe au sein du parapluie TA410 utilise différents ensembles d’outils. Alors que JollyFrog s’appuie sur des logiciels malveillants prêts à l’emploi tels que QuasarRAT et Korplug (alias PlugX), LookingFrog utilise X4, un implant barebones, et LookBack.

FlowingFrog, en revanche, utilise un téléchargeur appelé Tendyron qui est livré au moyen de l’arme Royal Road RTF, l’utilisant pour télécharger FlowCloud ainsi qu’une deuxième porte dérobée, qui est basée sur Gh0stRAT (alias Farfli).

« TA410 est un parapluie de cyberespionnage ciblant des entités de premier plan telles que les gouvernements et les universités du monde entier », a déclaré ESET. « Même si l’équipe JollyFrog utilise des outils génériques, FlowingFrog et LookingFrog ont accès à des implants complexes tels que FlowCloud et LookBack. »

David
Rate author
Hackarizona