Internationale Cyberspionagegruppe arbeitet in drei unterschiedlichen Teams

Die Struktur der Hacker-Gruppe TA410 wurde enttarnt

ESET Research enthüllt ein detailliertes Profil von TA410, einer Cyberspionage-Gruppierung, die lose mit APT10 kooperiert. Diese ist bekannt dafür, US-amerikanische Organisationen im Versorgungssektor und diplomatische Organisationen im Nahen Osten und Afrika ins Visier zu nehmen.

Die Forscher des europäischen IT-Sicherheitsherstellers gehen davon aus, dass diese Gruppe aus drei verschiedenen Teams besteht, die unterschiedliche Toolsets verwenden. Dieser Werkzeugkasten umfasst auch eine neue Version von FlowCloud. Hier handelt es sich um eine sehr komplexe Hintertür mit umfassenden Spionagefähigkeiten. ESET wird seine neuesten Erkenntnisse über TA410, einschließlich der Ergebnisse der laufenden Forschung, während der Botconf 2022 vorstellen.

Anzeige

Im Visier von TA410: Diplomaten und Militär

Die meisten TA410-Ziele sind Hochkaräter und umfassen Diplomaten, Universitäten und militärische Einrichtungen. Unter den Opfern im asiatischen Raum konnte ESET ein großes Industrieunternehmen und in Indien ein Bergbauunternehmen als Opfer identifizieren. In Israel hatten es die Täter auf eine Wohltätigkeitsorganisation abgesehen. In China scheint TA410 es primär auf Ausländer abgesehen zu haben.

Aufbau der eSpionage-Gruppe

Die von ESET identifizierten Untergruppierungen von TA410, die als FlowingFrog, LookingFrog und JollyFrog bezeichnet werden, haben Überschneidungen in TTPs, Viktimologie und Netzwerkinfrastruktur. Die ESET-Forscher gehen außerdem davon aus, dass diese Untergruppen einigermaßen unabhängig voneinander operieren, aber möglicherweise gemeinsame Informationsanforderungen, ein Zugangsteam, das ihre Spearphishing-Kampagnen durchführt, und auch das Team, das die Netzwerkinfrastruktur einrichtet, haben.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

FlowClouds Spionagefunktionen

Der Angriff erfolgt in der Regel über das Ausnutzen von Sicherheitslücken in Standardanwendungen, wie beispielsweise Microsoft Exchange, oder durch das Versenden von Spearphishing-E-Mails mit schädlichen Dokumenten. „Die Opfer werden von TA410 gezielt ins Visier genommen werden. Die Angreifer setzen auf die jeweils entsprechend dem Opfer am erfolgversprechendste Angriffsmethodik, um das Zielsystemeffektiv zu infiltrieren”, erklärt ESET-Malware-Forscher Alexandre Côté Cyr. Obwohl die ESET-Forscher glauben, dass diese Version von FlowCloud, die vom FlowingFrog-Team verwendet wird, sich noch im Entwicklungs- und Teststadium befindet. Die Cyberspionage-Funktionen dieser Version umfassen die Möglichkeit, Mausbewegungen, Tastaturaktivitäten und Zwischenablageinhalte zusammen mit Informationen über das aktuelle Vordergrundfenster zu sammeln. Diese Informationen können Angreifern helfen, gestohlene Daten besser einzuordnen, indem sie sie kontextualisieren.

Anzeige

FlowCloud kann aber weit mehr: Die Spionagefunktion ist in der Lage, Bilder mit Hilfe der angeschlossenen Webcam oder der integrierten Kamera aufzunehmen oder Gespräche über das Mikrofon von Notebooks oder Webcams unbemerkt aufzuzeichnen. „Die letztere Funktion wird automatisch durch jeden Ton über einem Schwellwert von 65 Dezibel ausgelöst, was im oberen Bereich der normalen Gesprächslautstärke liegt“, so Côté Cyr weiter. 

TA410 ist seit mindestens 2018 aktiv und wurde erstmals im August 2019 von Proofpoint in seinem LookBack-Blogpost veröffentlicht. Ein Jahr später wurde auch die damals neue und sehr komplexe Malware-Familie namens FlowCloud der TA410 Gruppe zugeschrieben.

Weitere Informationen:

Für eine detaillierte technische Analyse lesen Sie den Blogpost “A lookback under the TA410 umbrella: Its cyberespionage TTPs and activity” auf WeLiveSecurity.

www.eset.de
 

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.