TA410 вооружились новой версией трояна для удаленного доступа LookBack с функцией инфостилера.
Кибершпионская группа, известная своими атаками на критическую инфраструктуру в странах Африки, Среднего Востока и в США, вооружилась новой версией трояна для удаленного доступа с функцией инфостилера.
Группа TA410 состоит из трех команд: FlowingFrog, LookingFrog и JollyFrog. По данным специалистов ИБ-компании ESET, они работают независимо друг от друга, но используют одну и ту же команду хакеров для проведения операций целенаправленного фишинга и имеют общую сетевую инфраструктуру.
Тактики и некоторые инструменты TA410 также использует киберпреступная группировка APT10 (Stone Panda, TA429), атакующая коммунальные предприятия в США и дипломатические миссии в странах Среднего Востока и Африки.
Впервые о TA410 сообщили специалисты ИБ-компании Proofpoint в августе 2019 года, когда группа проводила фишинговые кампании, нацеленные на американские коммунальные предприятия. В ходе кампании хакеры рассылали жертвам письма с документами, содержавшими вредоносные макросы, устанавливающие на системы модульное вредоносное ПО LookBack.
Примерно через год группа вернулась с новым бэкдором под названием FlowCloud, также использовавшимся в атаках на коммунальные предприятия в США. Вредонос представлял собой троян для удаленного доступа и обеспечивал хакерам доступ к установленным на взломанной системе приложениям, клавиатуре, мыши, экрану, файлам, сервисам и процессам.
В ходе расследования атак TA410 специалисты ESET обнаружили новую версию FlowCloud, способную записывать звук через микрофон компьютера, мониторить действия с буфером обмена и делать фото с помощью подключенной к устройству камеры.
Помимо целенаправленного фишинга, для получения первоначального доступа к системам жертв TA410 эксплуатирует уязвимости в доступных через интернет приложениях Microsoft Exchange, SharePoint и SQL Servers.
Каждая входящая в TA410 команда использует разные наборы инструментов. JollyFrog полагается на готовые варианты QuasarRAT и Korplug (PlugX), LookingFrog использует X4, «сырой» имплант с функцией удаленного доступа, а также вредоносное ПО LookBack.
В свою очередь, FlowingFrog использует загрузчик Tendyron, который доставляется с помощью Royal Road RTF, используя его для загрузки FlowCloud, а также второго бэкдора на базе Gh0stRAT (он же Farfli).
Источник: securitylab