Especialistas detalham 3 equipes de hackers trabalhando sob o guarda-chuva do Grupo TA410

Um agente de ameaças de ciberespionagem conhecido por atacar uma variedade de setores críticos de infraestrutura na África, Oriente Médio e EUA foi observado usando uma versão atualizada de um trojan de acesso remoto com recursos de roubo de informações.

Chamando o TA410 de um grupo abrangente composto por três equipes apelidadas de FlowingFrog, LookingFrog e JollyFrog, a empresa eslovaca de segurança cibernética ESET avaliou que “esses subgrupos operam de forma independente, mas podem compartilhar requisitos de inteligência, uma equipe de acesso que executa suas campanhas de spear-phishing e também a equipe que implanta a infraestrutura de rede.”

O TA410  que se diz compartilhar sobreposições comportamentais e de ferramentas com o APT10 (também conhecido como Stone Panda ou TA429)  tem um histórico de atingir organizações sediadas nos EUA no setor de serviços públicos, bem como entidades diplomáticas no Oriente Médio e na África.

Outras vítimas identificadas do coletivo de hackers incluem uma empresa de manufatura no Japão, uma empresa de mineração na Índia e uma instituição de caridade em Israel, além de vítimas não identificadas nas verticais de educação e militares.

O TA410 foi documentado pela primeira vez pela Proofpoint em agosto de 2019, quando o agente da ameaça desencadeou campanhas de phishing contendo documentos carregados de macros para comprometer provedores de serviços públicos nos EUA com um malware modular chamado LookBack.

Quase um ano depois, o grupo voltou com um novo backdoor codinome FlowCloud, também entregue a provedores de serviços públicos dos EUA, que a Proofpoint descreveu como malware que dá aos invasores controle total sobre os sistemas infectados.

A investigação da ESET sobre o “modus operandi” e o conjunto de ferramentas da equipe de hackers lançou luz sobre uma nova versão do FlowCloud, que vem com a capacidade de gravar áudio usando o microfone de um computador, monitorar eventos da área de transferência e controlar dispositivos de câmera conectados para tirar fotos.

Especificamente, a função de gravação de áudio foi projetada para ser acionada automaticamente quando os níveis de som próximos ao computador comprometido cruzarem um limite de 65 decibéis.

O TA410 também é conhecido por aproveitar tanto o spear-phishing quanto os aplicativos vulneráveis ​​voltados para a Internet, como Microsoft Exchange, SharePoint e SQL Servers, para obter acesso inicial.

“Isso indica para nós que suas vítimas são direcionadas especificamente, com os invasores escolhendo qual método de entrada tem a melhor chance de se infiltrar no alvo”, disse Alexandre Côté Cyr, pesquisador de malware da ESET .

Diz-se que cada equipe dentro do guarda-chuva TA410 usa diferentes conjuntos de ferramentas. Enquanto o JollyFrog depende de malware de prateleira, como QuasarRAT e Korplug (também conhecido como PlugX ), o LookingFrog usa o X4, um implante básico e o LookBack.

O FlowingFrog, por outro lado, emprega um downloader chamado Tendyron que é entregue por meio do armamento Royal Road RTF , usando-o para baixar o FlowCloud, bem como um segundo backdoor, baseado no Gh0stRAT (também conhecido como Farfli).

“O TA410 é um guarda-chuva de ciberespionagem visando entidades de alto perfil, como governos e universidades em todo o mundo”, disse a ESET. “Mesmo que a equipe JollyFrog use ferramentas genéricas, FlowingFrog e LookingFrog têm acesso a implantes complexos, como FlowCloud e LookBack.”

Este artigo é uma tradução de: https://thehackernews.com/2022/04/experts-detail-3-hacking-teams-working.html  (Autor: Ravie Lakshmanan)