Les chercheurs d’ESET, 1er éditeur Européen de solutions de sécurité, estiment que TA410 regroupe trois équipes différentes, à savoir FlowingFrog, LookingFrog et JollyFrog, qui utilisent des tactiques, techniques et procédures très similaires, mais des cibles et des outils différents
- TA410 est un groupe qui compte trois équipes que les chercheurs d’ESET ont nommées FlowingFrog, LookingFrog et JollyFrog, chacune ayant ses propres cibles et outils.
- La télémétrie d’ESET a localisé des victimes dans le monde entier, principalement dans les secteurs du gouvernement et de l’éducation.
- TA410 avait accès aux plus récentes vulnérabilités connues d’exécution de code à distance dans Microsoft Exchange, (par ex, ProxyLogon en mars 2021 et ProxyShell en août 2021).
- Les chercheurs d’ESET ont découvert une nouvelle version de FlowCloud, un outil d’accès à distance complexe et modulaire programmé en C++. Il est utilisé par FlowingFrog et comporte de plusieurs fonctionnalités intéressantes, notamment :
- Contrôle des microphones connectés et déclenchement de l’enregistrement lorsque des niveaux sonores supérieurs à un seuil spécifié sont détectés.
- Surveillance des événements du presse-papiers pour voler son contenu.
- Surveillance des événements du système de fichiers pour collecter les nouveaux fichiers et les fichiers modifiés.
- Contrôle des caméras installées pour prendre des photos de l’environnement de l’ordinateur compromis.
ESET Research a publié le profil détaillé de TA410, un groupe de cyberespionnage associé à APT10, connu pour cibler principalement des entreprises de services publics aux États-Unis et des organisations diplomatiques au Moyen-Orient et en Afrique. Les chercheurs d’ESET pensent que ce groupe est composé de trois équipes différentes qui utilisent différents outils, dont une nouvelle version de FlowCloud découverte par ESET. Il s’agit d’une porte dérobée très complexe intégrant des fonctionnalités d’espionnage intéressantes. ESET présentera ses dernières découvertes sur TA410, y compris les conclusions des études en cours, durant l’événement Botconf 2022.
Ces équipes, appelées FlowingFrog, LookingFrog et JollyFrog, se recoupent au niveau des TTP, de la victimologie et de l’infrastructure réseau. Les chercheurs d’ESET supposent également que ces sous-groupes travaillent de manière quelque peu indépendante, mais qu’ils ont en commun les mêmes besoins en matière de renseignement, une équipe d’accès qui mène leurs campagnes d’hameçonnage, et l’équipe chargé du déploiement de l’infrastructure réseau.
La plupart des cibles de TA410 sont d’importantes organisations des secteurs de la diplomatie et de l’éducation, mais ESET a également identifié des victimes dans le secteur de la défense, une entreprise de fabrication au Japon, une société minière en Inde et une organisation caritative en Israël. Fait intéressant, TA410 cible des personnes étrangères en Chine. Selon la télémétrie d’ESET, cela s’est produit au moins deux fois ; l’une des victimes est un universitaire français, et une autre est membre d’une mission diplomatique d’un pays d’Asie du Sud.
L’accès initial aux cibles se fait en exploitant des applications Internet vulnérables, telles que Microsoft Exchange, ou en envoyant des emails d’hameçonnage contenant des documents malveillants. « Cela signifie que leurs victimes sont ciblées spécifiquement. Les attaquants choisissent la méthode d’entrée qui a le plus de chances d’infiltrer la cible, » explique Alexandre Côté Cyr, Malware Researcher chez ESET. Même si les chercheurs d’ESET pensent que cette version de FlowCloud, utilisée par l’équipe FlowingFrog, est encore en cours de développement et de test, ses fonctionnalités de cyberespionnage incluent la possibilité de capturer les mouvements de la souris, l’activité du clavier et le contenu du presse-papiers, ainsi que des informations sur la fenêtre actuellement au premier plan. Ces informations peuvent aider les attaquants à comprendre les données volées en les contextualisant.
FlowCloud peut également recueillir des informations sur ce qui se passe autour de l’ordinateur de la victime, en prenant des photos à l’aide de la caméra installée et en enregistrant des sons à l’aide du microphone intégré. « Cette fonctionnalité est déclenchée automatiquement lorsque le bruit dépasse un seuil de 65 décibels, qui se situe dans la fourchette haute du volume normal d’une conversation. Les fonctions d’enregistrement sonore typiques des logiciels de cyberespionnage sont déclenchées soit lorsqu’une action est effectuée sur la machine affectée, par exemple, lorsqu’une application de vidéoconférence est lancée, soit lorsqu’une commande spécifique est envoyée au malware par ses opérateurs, » précise M. Côté Cyr.
TA410 est actif depuis au moins 2018, et a été révélé publiquement pour la première fois en août 2019 par Proofpoint dans son article LookBack. Un an plus tard, la nouvelle famille de malwares FlowCloud très complexe a également été attribuée à TA410.
Pour une analyse technique détaillée, lisez l’article « A lookback under the TA410 umbrella:Its cyberespionage TTPs and activity » sur WeLiveSecurity, et suivez ESET Research sur Twitter pour connaître les dernières actualités d’ESET Research. Pour les règles YARA et Snort, consultez le compte GitHub d’ESET.