Un acteur de cyberespionnage connu pour cibler une vari\u00e9t\u00e9 de secteurs d’infrastructure critiques en Afrique, au Moyen-Orient et aux \u00c9tats-Unis a \u00e9t\u00e9 observ\u00e9 en train d’utiliser une version am\u00e9lior\u00e9e d’un cheval de Troie d’acc\u00e8s \u00e0 distance avec des capacit\u00e9s de vol d’informations.<\/p>\n
Appel TA410<\/b> un groupe de coordination compos\u00e9 de trois \u00e9quipes baptis\u00e9es FlowingFrog, LookingFrog et JollyFrog, la soci\u00e9t\u00e9 slovaque de cybers\u00e9curit\u00e9 ESET \u00e9valu\u00e9<\/a> que “ces sous-groupes fonctionnent de mani\u00e8re quelque peu ind\u00e9pendante, mais qu’ils peuvent partager des exigences en mati\u00e8re de renseignement, une \u00e9quipe d’acc\u00e8s qui ex\u00e9cute leurs campagnes de harponnage, ainsi que l’\u00e9quipe qui d\u00e9ploie l’infrastructure r\u00e9seau”.<\/p>\n TA410 – cens\u00e9 partager des chevauchements comportementaux et d’outils avec APT10<\/a> (alias Stone Panda ou TA429) – a l’habitude de cibler des organisations bas\u00e9es aux \u00c9tats-Unis dans le secteur des services publics ainsi que des entit\u00e9s diplomatiques au Moyen-Orient et en Afrique.<\/p>\n Parmi les autres victimes identifi\u00e9es du collectif de hackers figurent une entreprise manufacturi\u00e8re au Japon, une entreprise mini\u00e8re en Inde et une organisation caritative en Isra\u00ebl, en plus de victimes anonymes dans les secteurs de l’\u00e9ducation et de l’arm\u00e9e.<\/p>\n TA410 \u00e9tait d’abord document\u00e9<\/a> par Proofpoint en ao\u00fbt 2019 lorsque l’acteur malveillant a lanc\u00e9 des campagnes de phishing contenant des documents charg\u00e9s de macros pour compromettre les fournisseurs de services publics \u00e0 travers les \u00c9tats-Unis avec un malware modulaire appel\u00e9 LookBack.<\/p>\n Pr\u00e8s d’un an plus tard, le groupe est revenu avec une nouvelle porte d\u00e9rob\u00e9e nomm\u00e9e FlowCloud, \u00e9galement livr\u00e9e aux fournisseurs de services publics am\u00e9ricains, que Proofpoint a d\u00e9crit comme un malware qui donne aux attaquants un contr\u00f4le total sur les syst\u00e8mes infect\u00e9s.<\/p>\n “Sa fonctionnalit\u00e9 de cheval de Troie d’acc\u00e8s \u00e0 distance (RAT) inclut la possibilit\u00e9 d’acc\u00e9der aux applications install\u00e9es, au clavier, \u00e0 la souris, \u00e0 l’\u00e9cran, aux fichiers, aux services et aux processus avec la possibilit\u00e9 d’exfiltrer des informations via la commande et le contr\u00f4le”, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9. c’est not\u00e9<\/a> en juin 2020.<\/p>\n La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 industrielle Dragos, qui suit le groupe d’activit\u00e9s sous le nom de TALONITE, a soulign\u00e9 le penchant du groupe \u00e0 m\u00e9langer techniques et tactiques afin d’assurer une intrusion r\u00e9ussie.<\/p>\n “TALONITE se concentre sur la subversion et l’exploitation de la confiance avec des leurres de phishing ax\u00e9s sur des th\u00e8mes et des concepts sp\u00e9cifiques \u00e0 l’ing\u00e9nierie, des logiciels malveillants qui abusent de binaires autrement l\u00e9gitimes ou modifient ces binaires pour inclure des fonctionnalit\u00e9s suppl\u00e9mentaires, et une combinaison d’infrastructures r\u00e9seau d\u00e9tenues et compromises”, Dragos mentionn\u00e9<\/a> en avril 2021.<\/p>\n L’enqu\u00eate d’ESET sur le modus operandi et l’ensemble d’outils de l’\u00e9quipe de piratage a mis en lumi\u00e8re une nouvelle version de FlowCloud, qui offre la possibilit\u00e9 d’enregistrer de l’audio \u00e0 l’aide du microphone d’un ordinateur, de surveiller les \u00e9v\u00e9nements du presse-papiers et de contr\u00f4ler les appareils photo connect\u00e9s pour prendre des photos.<\/p>\n Plus pr\u00e9cis\u00e9ment, la fonction d’enregistrement audio est con\u00e7ue pour se d\u00e9clencher automatiquement lorsque les niveaux sonores \u00e0 proximit\u00e9 de l’ordinateur compromis franchissent un seuil de 65 d\u00e9cibels.<\/p>\n Le TA410 est \u00e9galement connu pour tirer parti \u00e0 la fois du harponnage et des applications Internet vuln\u00e9rables telles que Microsoft Exchange, SharePoint et SQL Server pour obtenir un acc\u00e8s initial.<\/p>\n “Cela nous indique que leurs victimes sont cibl\u00e9es sp\u00e9cifiquement, les attaquants choisissant quelle m\u00e9thode d’entr\u00e9e a les meilleures chances d’infiltrer la cible”, a d\u00e9clar\u00e9 Alexandre C\u00f4t\u00e9 Cyr, chercheur sur les logiciels malveillants chez ESET. mentionn\u00e9<\/a>.<\/p>\n On dit que chaque \u00e9quipe au sein du parapluie TA410 utilise diff\u00e9rents ensembles d’outils. Alors que JollyFrog s’appuie sur des logiciels malveillants pr\u00eats \u00e0 l’emploi tels que QuasarRAT et Korplug (alias PlugX), LookingFrog utilise X4, un implant barebones, et LookBack.<\/p>\n FlowingFrog, en revanche, utilise un t\u00e9l\u00e9chargeur appel\u00e9 Tendyron qui est livr\u00e9 au moyen de l’arme Royal Road RTF, l’utilisant pour t\u00e9l\u00e9charger FlowCloud ainsi qu’une deuxi\u00e8me porte d\u00e9rob\u00e9e, qui est bas\u00e9e sur Gh0stRAT<\/a> (alias Farfli).<\/p>\n “TA410 est un parapluie de cyberespionnage ciblant des entit\u00e9s de premier plan telles que les gouvernements et les universit\u00e9s du monde entier”, a d\u00e9clar\u00e9 ESET. “M\u00eame si l’\u00e9quipe JollyFrog utilise des outils g\u00e9n\u00e9riques, FlowingFrog et LookingFrog ont acc\u00e8s \u00e0 des implants complexes tels que FlowCloud et LookBack.”<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/02\/1645701000_960_Dridex-Malware-Deploiement-Entropy-Ransomware-sur-des-ordinateurs-pirates.png\")
<\/a><\/div>\n![\"Groupe](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/04\/1651174520_722_Les-experts-detaillent-3-equipes-de-piratage-travaillant-sous-legide.jpg\" "\\"Groupe")
<\/div>\n![\"Groupe](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/04\/1651174520_94_Les-experts-detaillent-3-equipes-de-piratage-travaillant-sous-legide.jpg\" "\\"Groupe")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/04\/1650021915_454_Haskers-Gang-donne-gratuitement-le-logiciel-malveillant-ZingoStealer-a-dautres.jpg\")
<\/a><\/div>\n