Các nhà nghiên cứu của ESET cho rằng nhóm này bao gồm ba nhóm khác nhau sử dụng các bộ công cụ khác nhau, bao gồm cả phiên bản FlowCloud mới của nhóm gián điệp mạng TA410 mà ESET đã phát hiện ra. Nhóm này là một backdoor rất phức tạp với khả năng gián điệp thú vị. ESET đã thông báo rằng họ sẽ trình bày những phát hiện mới nhất của mình về nhóm mối đe dọa TA410, bao gồm cả kết quả nghiên cứu đang diễn ra, tại Botconf 2022.
Nhóm gián điệp mạng TA410 là gì?
- TA410 là một nhóm bao gồm ba nhóm, mỗi nhóm có bộ công cụ và mục tiêu riêng và được các nhà nghiên cứu ESET gọi là FlowingFrog, LookingFrog và JollyFrog.
- Đo từ xa của ESET cho thấy có nạn nhân của nhóm này trên khắp thế giới, đặc biệt là trong lĩnh vực công và giáo dục.
- TA410 có quyền truy cập vào các lỗ hổng thực thi mã từ xa Microsoft Exchange đã biết gần đây nhất (ví dụ: ProxyLogon vào tháng 3 năm 2021 và ProxyShell vào tháng 8 năm 2021).
- Các nhà nghiên cứu của ESET đã tìm thấy một phiên bản mới của FlowCloud, một RAT C++ mô-đun và phức tạp được FlowingFrog sử dụng, với một số tính năng thú vị. Những tính năng này bao gồm:
- Kiểm tra micrô được kết nối và bắt đầu ghi âm khi phát hiện thấy mức âm thanh vượt quá mức âm lượng ngưỡng nhất định.
- Giám sát các sự kiện trong clipboard để phát nội dung trong clipboard.
- Giám sát các sự kiện của hệ thống tệp để thu thập các tệp mới và đã thay đổi.
- Kiểm tra các thiết bị camera được kết nối để chụp ảnh môi trường xung quanh máy tính bị xâm nhập.
Thổ Nhĩ Kỳ nằm trong số các quốc gia được nhắm mục tiêu.
Các đội này, được gọi là FlowingFrog, LookingFrog và JollyFrog dưới đây, có những điểm tương đồng về chiến thuật, kỹ thuật và quy trình, nạn nhân và cơ sở hạ tầng mạng.
Các nhà nghiên cứu của ESET cũng cho rằng các nhóm con này hoạt động độc lập một chút nhưng có thể chia sẻ các yêu cầu thông tin, nhóm truy cập thực hiện các chiến dịch lừa đảo có chủ đích cũng như nhóm triển khai cơ sở hạ tầng mạng.
Hầu hết mục tiêu của TA410 là các tổ chức cấp cao trong lĩnh vực ngoại giao và giáo dục. Ngược lại, ESET cũng xác định nạn nhân trong lĩnh vực quân sự, một công ty sản xuất ở Nhật Bản, một công ty khai thác mỏ ở Ấn Độ và một tổ chức từ thiện ở Israel. Người ta cũng tuyên bố rằng TA410 nhắm mục tiêu vào các cá nhân nước ngoài ở Trung Quốc. Theo phép đo từ xa của ESET, điều này đã xảy ra ít nhất hai lần; chẳng hạn, một trong những nạn nhân là một học giả người Pháp và người còn lại là thành viên phái đoàn ngoại giao của một quốc gia Nam Á tại Trung Quốc.
Quyền truy cập ban đầu vào các mục tiêu có được bằng cách tận dụng các ứng dụng truy cập internet như Microsoft Exchange hoặc bằng cách gửi email lừa đảo có mục tiêu chứa tài liệu độc hại. Nhà nghiên cứu phần mềm độc hại ESET Alexandre Côté Cyr giải thích: “Điều này có nghĩa là nạn nhân của họ được nhắm mục tiêu cụ thể và những kẻ tấn công chọn nạn nhân ở nơi chúng có cơ hội xâm nhập mục tiêu tốt nhất”. Mặc dù các nhà nghiên cứu của ESET tin rằng phiên bản FlowCloud được nhóm FlowingFrog sử dụng này vẫn đang được phát triển và thử nghiệm, nhưng các khả năng gián điệp mạng của phiên bản này bao gồm khả năng thu thập chuyển động của chuột, hoạt động bàn phím và nội dung clipboard, ngoài việc thu thập thông tin về cửa sổ nền trước hiện tại. Thông tin này có thể giúp kẻ tấn công hiểu được dữ liệu bị đánh cắp bằng cách đặt nó vào ngữ cảnh.
Ngoài ra, FlowCloud có thể thu thập thông tin về những gì đang diễn ra trên máy tính của nạn nhân bằng cách chụp ảnh qua các thiết bị ngoại vi camera được kết nối và ghi lại âm thanh qua micrô của máy tính. Côté Cyr tiếp tục: “Chức năng thứ hai này tự động bắt đầu với bất kỳ âm thanh nào trên ngưỡng 65 decibel, nằm trong phạm vi trên của âm lượng lời nói bình thường. Chức năng ghi âm điển hình trong phần mềm độc hại gián điệp mạng được bắt đầu khi một hành động được thực hiện trên máy bị ảnh hưởng (ví dụ: khi ứng dụng hội nghị truyền hình đang chạy) hoặc một lệnh cụ thể được người điều hành gửi đến phần mềm độc hại.”
TA410 đã hoạt động ít nhất từ năm 2018 và được Proofpoint công bố lần đầu tiên trong một bài đăng trên blog LookBack vào tháng 8 năm 2019. Một năm sau, FlowCloud, một dòng phần mềm độc hại mới và rất tinh vi, cũng được liên kết với TA410.
Để biết thông tin chi tiết;
https://www.welivesecurity.com/2022/04/27/lookback-ta410-umbrella-cyberespionage-ttps-activity/
