Afrika, Orta Doğu ve ABD’deki çeşitli kritik altyapı sektörlerini hedef aldığı bilinen bir siber casusluk tehdidi aktörünün, bilgi çalma yeteneklerine sahip bir uzaktan erişim truva atının yükseltilmiş bir sürümünü kullandığı gözlemlendi.
arama TA410 Slovak siber güvenlik firması ESET olan FlowingFrog, LookingFrog ve JollyFrog adlı üç ekipten oluşan bir şemsiye grup değerlendirildi “bu alt gruplar bir şekilde bağımsız çalışır, ancak istihbarat gereksinimlerini, hedef odaklı kimlik avı kampanyalarını yürüten bir erişim ekibini ve ayrıca ağ altyapısını dağıtan ekibi paylaşabilirler.”
TA410 – davranışsal ve takım örtüşmelerini paylaştığı söyleniyor APT10 (diğer adıyla Stone Panda veya TA429) — Orta Doğu ve Afrika’daki diplomatik kuruluşların yanı sıra kamu hizmetleri sektöründeki ABD merkezli kuruluşları hedef alma geçmişine sahiptir.
Hacker kolektifinin diğer kurbanları arasında Japonya’da bir imalat şirketi, Hindistan’da bir maden işletmesi ve İsrail’de bir hayır kurumu ile eğitim ve askeri sektördeki isimsiz kurbanlar yer alıyor.
TA410 (önceki değeri) ilk belgelenmiş Proofpoint tarafından Ağustos 2019’da, tehdit aktörü, LookBack adlı modüler bir kötü amaçlı yazılımla ABD genelinde hizmet sağlayıcıları tehlikeye atmak için makro yüklü belgeler içeren kimlik avı kampanyalarını serbest bıraktığında.
Yaklaşık bir yıl sonra grup, Proofpoint’in saldırganlara virüslü sistemler üzerinde tam kontrol sağlayan kötü amaçlı yazılım olarak tanımladığı, yine ABD kamu hizmetleri sağlayıcılarına teslim edilen FlowCloud kod adlı yeni bir arka kapı ile geri döndü.
Şirket, “Uzaktan erişim truva atı (RAT) işlevi, yüklü uygulamalara, klavyeye, fareye, ekrana, dosyalara, hizmetlere ve işlemlere komut ve kontrol yoluyla bilgi sızdırma yeteneği ile erişme yeteneğini içerir” dedi. not alınmış Haziran 2020’de.
Faaliyet grubunu TALONITE takma adıyla izleyen endüstriyel siber güvenlik firması Dragos, grubun başarılı bir saldırı sağlamak için teknikleri ve taktikleri harmanlama eğilimine dikkat çekti.
“TALONITE, mühendisliğe özgü temalara ve kavramlara odaklanan kimlik avı cazibeleri, aksi takdirde meşru ikili dosyaları kötüye kullanan veya bu ikili dosyaları ek işlevsellik içerecek şekilde değiştiren kötü amaçlı yazılımlar ve sahip olunan ve güvenliği ihlal edilmiş ağ altyapısının bir kombinasyonuna odaklanan kimlik avı cazibeleriyle güveni yıkmaya ve güvenden yararlanmaya odaklanıyor,” Dragos dedim Nisan 2021’de.
ESET’in bilgisayar korsanlığı ekibinin çalışma şekli ve araç seti hakkındaki araştırması, bir bilgisayarın mikrofonunu kullanarak ses kaydetme, pano olaylarını izleme ve fotoğraf çekmek için bağlı kamera cihazlarını kontrol etme özelliğiyle birlikte gelen FlowCloud’un yeni bir sürümüne ışık tuttu.
Spesifik olarak, ses kaydı işlevi, güvenliği ihlal edilen bilgisayarın yakınındaki ses seviyeleri 65 desibel eşiğini geçtiğinde otomatik olarak tetiklenecek şekilde tasarlanmıştır.
TA410’un ayrıca, ilk erişim elde etmek için Microsoft Exchange, SharePoint ve SQL Sunucuları gibi hem hedef odaklı kimlik avı hem de güvenlik açığı bulunan internete yönelik uygulamalardan yararlandığı bilinmektedir.
ESET kötü amaçlı yazılım araştırmacısı Alexandre Côté Cyr, “Bu bize, kurbanlarının özellikle hedef alındığını ve saldırganların hangi giriş yönteminin hedefe sızma şansının en yüksek olduğunu seçtiğini gösteriyor.” dedim.
TA410 şemsiyesi içindeki her takımın farklı araç setleri kullandığı söyleniyor. JollyFrog, QuasarRAT ve Korplug (diğer adıyla PlugX) gibi kullanıma hazır kötü amaçlı yazılımlara güvenirken, LookingFrog, bir barebone implantı olan X4, bir barebone implantı ve LookBack’i kullanır.
FlowingFrog, aksine, Royal Road RTF silahlandırıcısı aracılığıyla sağlanan Tendyron adlı bir indiriciyi kullanır ve bunu FlowCloud’u indirmek için kullanır. Gh0stRAT (diğer adıyla Farfli).
ESET, “TA410, dünya çapında hükümetler ve üniversiteler gibi yüksek profilli kuruluşları hedef alan bir siber casusluk şemsiyesidir.” Dedi. “JollyFrog ekibi genel araçlar kullanıyor olsa da, FlowingFrog ve LookingFrog, FlowCloud ve LookBack gibi karmaşık implantlara erişebiliyor.”