ESET Research enthüllt ein detailliertes Profil von TA410, einer Cyberspionage-Gruppierung, die lose mit APT10 kooperiert. Diese ist bekannt dafür, US-amerikanische Organisationen im Versorgungssektor und diplomatische Organisationen im Nahen Osten und Afrika ins Visier zu nehmen. Die Forscher des europäischen IT-Sicherheitsherstellers gehen davon aus, dass diese Gruppe aus drei verschiedenen Teams besteht, die unterschiedliche Toolsets verwenden. Dieser Werkzeugkasten umfasst auch eine neue Version von FlowCloud. Hier handelt es sich um eine sehr komplexe Hintertür mit umfassenden Spionagefähigkeiten. ESET wird seine neuesten Erkenntnisse über TA410, einschließlich der Ergebnisse der laufenden Forschung, während der Botconf 2022 vorstellen. Die detaillierte Analyse gibt es auf WeLiveSecurity
Im Visier von TA410: Diplomaten und Militär
Die meisten TA410-Ziele sind Hochkaräter und umfassen Diplomaten, Universitäten und militärische Einrichtungen. Unter den Opfern im asiatischen Raum konnte ESET ein großes Industrieunternehmen und in Indien ein Bergbauunternehmen als Opfer identifizieren. In Israel hatten es die Täter auf eine Wohltätigkeitsorganisation abgesehen. In China scheint TA410 es primär auf Ausländer abgesehen zu haben.
Übersicht der Angriffsziele, Branchen und Länder von TA410
Aufbau der eSpionage-Gruppe
Die von ESET identifizierten Untergruppierungen von TA410, die als FlowingFrog, LookingFrog und JollyFrog bezeichnet werden, haben Überschneidungen in TTPs, Viktimologie und Netzwerkinfrastruktur. Die ESET-Forscher gehen außerdem davon aus, dass diese Untergruppen einigermaßen unabhängig voneinander operieren, aber möglicherweise gemeinsame Informationsanforderungen, ein Zugangsteam, das ihre Spearphishing-Kampagnen durchführt, und auch das Team, das die Netzwerkinfrastruktur einrichtet, haben.
FlowClouds Spionagefunktionen
Der Angriff erfolgt in der Regel über das Ausnutzen von Sicherheitslücken in Standardanwendungen, wie beispielsweise Microsoft Exchange, oder durch das Versenden von Spearphishing-E-Mails mit schädlichen Dokumenten. „Die Opfer werden von TA410 gezielt ins Visier genommen werden. Die Angreifer setzen auf die jeweils entsprechend dem Opfer am erfolgversprechendste Angriffsmethodik, um das Zielsystemeffektiv zu infiltrieren", erklärt ESET-Malware-Forscher Alexandre Côté Cyr. Obwohl die ESET-Forscher glauben, dass diese Version von FlowCloud, die vom FlowingFrog-Team verwendet wird, sich noch im Entwicklungs- und Teststadium befindet. Die Cyberspionage-Funktionen dieser Version umfassen die Möglichkeit, Mausbewegungen, Tastaturaktivitäten und Zwischenablageinhalte zusammen mit Informationen über das aktuelle Vordergrundfenster zu sammeln. Diese Informationen können Angreifern helfen, gestohlene Daten besser einzuordnen, indem sie sie kontextualisieren.
FlowCloud kann aber weit mehr: Die Spionagefunktion ist in der Lage, Bilder mit Hilfe der angeschlossenen Webcam oder der integrierten Kamera aufzunehmen oder Gespräche über das Mikrofon von Notebooks oder Webcams unbemerkt aufzuzeichnen. „Die letztere Funktion wird automatisch durch jeden Ton über einem Schwellwert von 65 Dezibel ausgelöst, was im oberen Bereich der normalen Gesprächslautstärke liegt“, so Côté Cyr weiter.
A410 ist seit mindestens 2018 aktiv und wurde erstmals im August 2019 von Proofpoint in seinem LookBack-Blogpost veröffentlicht. Ein Jahr später wurde auch die damals neue und sehr komplexe Malware-Familie namens FlowCloud der TA410 Gruppe zugeschrieben.
Für eine detaillierte technische Analyse lesen Sie den Blogpost "A lookback under the TA410 umbrella: Its cyberespionage TTPs and activity" auf WeLiveSecurity.