Ein Cyberspionage-Akteur, der dafür bekannt ist, eine Reihe kritischer Infrastrukturen in Afrika, dem Nahen Osten und den USA ins Visier zu nehmen, wurde dabei beobachtet, wie er eine verbesserte Version eines Fernzugriffs-Trojaners mit Fähigkeiten zum Informationsdiebstahl verwendete.
Die slowakische Cybersecurity-Firma ESET bezeichnet TA410 als eine Dachgruppe, die aus drei Teams mit den Namen FlowingFrog, LookingFrog und JollyFrog besteht, und stellte fest, dass „diese Untergruppen zwar relativ unabhängig voneinander operieren, aber möglicherweise gemeinsame Informationsbedürfnisse haben, ein Zugangsteam, das ihre Spearphishing-Kampagnen durchführt, und auch das Team, das die Netzwerkinfrastruktur einrichtet.
TA410 – von dem gesagt wird, dass es Überschneidungen im Verhalten und in den Werkzeugen mit APT10 (auch bekannt als Stone Panda oder TA429) gibt – hat es in der Vergangenheit auf US-Organisationen im Versorgungssektor sowie auf diplomatische Einrichtungen im Nahen Osten und Afrika abgesehen.
Zu den weiteren bekannten Opfern des Hackerkollektivs gehören ein Produktionsunternehmen in Japan, ein Bergbauunternehmen in Indien und eine Wohltätigkeitsorganisation in Israel sowie ungenannte Opfer in den Bereichen Bildung und Militär.
TA410 wurde von Proofpoint zum ersten Mal im August 2019 dokumentiert, als der Bedrohungsakteur Phishing-Kampagnen mit makrobelasteten Dokumenten startete, um Versorgungsunternehmen in den USA mit einer modularen Malware namens LookBack zu kompromittieren.
Fast ein Jahr später kehrte die Gruppe mit einer neuen Backdoor mit dem Codenamen FlowCloud zurück, die ebenfalls an US-Versorgungsunternehmen geliefert wurde und die Proofpoint als Malware beschreibt, die Angreifern die vollständige Kontrolle über infizierte Systeme gibt.
„Die Funktionalität des Fernzugriffstrojaners (RAT) umfasst die Möglichkeit, auf installierte Anwendungen, Tastatur, Maus, Bildschirm, Dateien, Dienste und Prozesse zuzugreifen und Informationen über Command-and-Control zu exfiltrieren“, erklärte das Unternehmen im Juni 2020.
Das Cybersicherheitsunternehmen Dragos, das die Aktivitätsgruppe unter dem Namen TALONITE verfolgt, wies auf die Vorliebe der Angreifer hin, Techniken und Taktiken zu vermischen, um ein erfolgreiches Eindringen zu gewährleisten.
„TALONITE konzentriert sich auf die Unterwanderung und Ausnutzung von Vertrauen mit Phishing-Ködern, die sich auf ingenieurspezifische Themen und Konzepte konzentrieren, Malware, die ansonsten legitime Binärdateien missbraucht oder solche Binärdateien modifiziert, um zusätzliche Funktionen einzubauen, und eine Kombination aus eigener und kompromittierter Netzwerkinfrastruktur“, so Dragos im April 2021.
Die Untersuchung von ESET über den Modus Operandi und das Toolset der Hacker-Crew hat Licht auf eine neue Version von FlowCloud geworfen, die in der Lage ist, Audiosignale über das Mikrofon eines Computers aufzuzeichnen, Ereignisse in der Zwischenablage zu überwachen und angeschlossene Kamerageräte zu steuern, um Fotos zu machen.
Die Audioaufzeichnungsfunktion wird automatisch ausgelöst, wenn der Geräuschpegel in der Nähe des gefährdeten Computers eine Schwelle von 65 Dezibel überschreitet.
TA410 ist dafür bekannt, dass er sowohl Spearphishing als auch anfällige Internetanwendungen wie Microsoft Exchange, SharePoint und SQL Server ausnutzt, um sich Zugang zu verschaffen.
„Das deutet darauf hin, dass die Angreifer gezielt auf ihre Opfer zugehen und sich aussuchen, mit welcher Methode sie das Ziel am besten infiltrieren können“, sagt ESET-Malware-Forscher Alexandre Côté Cyr.
Jedes Team innerhalb der TA410-Gruppe soll unterschiedliche Tools verwenden. Während JollyFrog auf Standard-Malware wie QuasarRAT und Korplug (auch bekannt als PlugX) zurückgreift, verwendet LookingFrog X4, ein Barebone-Implantat mit Fernsteuerungsfunktionen, und LookBack.
FlowingFrog hingegen verwendet einen Downloader namens Tendyron, der über den Royal Road RTF Waffenspender verbreitet wird, und lädt damit FlowCloud sowie eine zweite Backdoor herunter, die auf Gh0stRAT (auch bekannt als Farfli) basiert.
„TA410 ist ein Cyberspionage-Schirm, der es auf hochrangige Einrichtungen wie Regierungen und Universitäten weltweit abgesehen hat“, so ESET. „Auch wenn das JollyFrog-Team generische Tools verwendet, haben FlowingFrog und LookingFrog Zugang zu komplexen Implantaten wie FlowCloud und LookBack“.