Un actor de amenazas de ciberespionaje conocido por apuntar a una variedad de sectores de infraestructura cr\u00edtica en \u00c1frica, Medio Oriente y EE. UU. ha sido observado utilizando una versi\u00f3n mejorada de un troyano de acceso remoto con capacidades de robo de informaci\u00f3n.<\/p>\n
Vocaci\u00f3n TA410<\/b> un grupo paraguas compuesto por tres equipos denominados FlowingFrog, LookingFrog y JollyFrog, la empresa de ciberseguridad eslovaca ESET juzgado<\/a> que “estos subgrupos operan de manera un tanto independiente, pero que pueden compartir requisitos de inteligencia, un equipo de acceso que ejecuta sus campa\u00f1as de phishing y tambi\u00e9n el equipo que implementa la infraestructura de red”.<\/p>\n TA410: se dice que comparte superposiciones de comportamiento y herramientas con APT10<\/a> (tambi\u00e9n conocido como Stone Panda o TA429): tiene un historial de apuntar a organizaciones con sede en EE. UU. en el sector de servicios p\u00fablicos, as\u00ed como a entidades diplom\u00e1ticas en el Medio Oriente y \u00c1frica.<\/p>\n Otras v\u00edctimas del colectivo de hackers incluyen una empresa manufacturera en Jap\u00f3n, una empresa minera en India y una organizaci\u00f3n ben\u00e9fica en Israel, adem\u00e1s de v\u00edctimas no identificadas en las verticales educativas y militares.<\/p>\n TA410 fue documentado por primera vez<\/a> por Proofpoint en agosto de 2019 cuando el actor de amenazas desat\u00f3 campa\u00f1as de phishing que conten\u00edan documentos cargados de macros para comprometer a los proveedores de servicios p\u00fablicos en los EE. UU. con un malware modular llamado LookBack.<\/p>\n Casi un a\u00f1o despu\u00e9s, el grupo regres\u00f3 con una nueva puerta trasera con nombre en c\u00f3digo FlowCloud, tambi\u00e9n entregada a proveedores de servicios p\u00fablicos de EE. UU., que Proofpoint describi\u00f3 como malware que brinda a los atacantes un control total sobre los sistemas infectados.<\/p>\n “Su funcionalidad de troyano de acceso remoto (RAT) incluye la capacidad de acceder a las aplicaciones instaladas, el teclado, el mouse, la pantalla, los archivos, los servicios y los procesos con la capacidad de filtrar informaci\u00f3n a trav\u00e9s de comando y control”, dijo la compa\u00f1\u00eda. anotado<\/a> en junio de 2020.<\/p>\n La firma de ciberseguridad industrial Dragos, que rastrea el grupo de actividad bajo el nombre de TALONITE, se\u00f1al\u00f3 la inclinaci\u00f3n del grupo por combinar t\u00e9cnicas y t\u00e1cticas para garantizar una intrusi\u00f3n exitosa.<\/p>\n “TALONITE se enfoca en subvertir y aprovechar la confianza con se\u00f1uelos de phishing que se enfocan en temas y conceptos espec\u00edficos de ingenier\u00eda, malware que abusa de binarios leg\u00edtimos o modifica dichos binarios para incluir funcionalidad adicional, y una combinaci\u00f3n de infraestructura de red propia y comprometida”, Dragos dicho<\/a> en abril de 2021.<\/p>\n La investigaci\u00f3n de ESET sobre el modus operandi y el conjunto de herramientas del equipo de pirater\u00eda ha arrojado luz sobre una nueva versi\u00f3n de FlowCloud, que viene con la capacidad de grabar audio usando el micr\u00f3fono de una computadora, monitorear eventos del portapapeles y controlar dispositivos de c\u00e1mara adjuntos para tomar fotograf\u00edas.<\/p>\n Espec\u00edficamente, la funci\u00f3n de grabaci\u00f3n de audio est\u00e1 dise\u00f1ada para activarse autom\u00e1ticamente cuando los niveles de sonido cerca de la computadora comprometida superan un umbral de 65 decibelios.<\/p>\n Tambi\u00e9n se sabe que TA410 aprovecha tanto el phishing selectivo como las aplicaciones vulnerables orientadas a Internet, como Microsoft Exchange, SharePoint y SQL Servers, para obtener acceso inicial.<\/p>\n “Esto nos indica que sus v\u00edctimas est\u00e1n dirigidas espec\u00edficamente, y los atacantes eligen qu\u00e9 m\u00e9todo de entrada tiene la mejor oportunidad de infiltrarse en el objetivo”, dijo Alexandre C\u00f4t\u00e9 Cyr, investigador de malware de ESET. dicho<\/a>.<\/p>\n Se dice que cada equipo dentro del paraguas TA410 usa diferentes conjuntos de herramientas. Mientras que JollyFrog se basa en malware comercial como QuasarRAT y Korplug (tambi\u00e9n conocido como PlugX), LookingFrog usa X4, un implante b\u00e1sico y LookBack.<\/p>\n FlowingFrog, por el contrario, emplea un descargador llamado Tendyron que se entrega a trav\u00e9s del generador de armas Royal Road RTF, us\u00e1ndolo para descargar FlowCloud, as\u00ed como una segunda puerta trasera, que se basa en Gh0stRAT<\/a> (tambi\u00e9n conocido como Farfli).<\/p>\n “TA410 es un paraguas de ciberespionaje dirigido a entidades de alto perfil como gobiernos y universidades de todo el mundo”, dijo ESET. “Aunque el equipo de JollyFrog usa herramientas gen\u00e9ricas, FlowingFrog y LookingFrog tienen acceso a implantes complejos como FlowCloud y LookBack”.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/02\/Es-probable-que-TrickBot-Gang-cambie-las-operaciones-para-cambiar.png\")
<\/a><\/div>\n![\"Grupo](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/04\/1651158961_828_Los-expertos-detallan-3-equipos-de-pirateria-que-trabajan-bajo.jpg\" "\\"Grupo")
<\/div>\n![\"Grupo](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/04\/1651158962_998_Los-expertos-detallan-3-equipos-de-pirateria-que-trabajan-bajo.jpg\" "\\"Grupo")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/04\/1650020196_834_Haskers-Gang-regala-malware-ZingoStealer-a-otros-ciberdelincuentes-de-forma.jpg\")
<\/a><\/div>\n