Cyberspionaggio APT ora identificato come tre gruppi separati.
Il gruppo di minacce noto come TA410 che gestisce il sofisticato FlowCloud RAT ha in realtà tre sottogruppi che operano a livello globale, ciascuno con i propri set di strumenti e obiettivi.
Un gruppo di minacce responsabile di sofisticati attacchi di spionaggio informatico contro le utility statunitensi è in realtà composto da tre sottogruppi, tutti con i propri set di strumenti e obiettivi, che operano a livello globale dal 2018, hanno scoperto i ricercatori.
TA410 è un gruppo di spionaggio informatico vagamente collegato ad APT10 , un gruppo legato al Ministero della Sicurezza di Stato cinese. Il gruppo è noto non solo per aver preso di mira le organizzazioni statunitensi nel settore dei servizi pubblici, ma anche le organizzazioni diplomatiche in Medio Oriente e Africa, secondo un rapporto pubblicato questa settimana dai ricercatori della società di sicurezza ESET.
Sebbene apparentemente sia attivo dal 2018, TA410 è apparso per la prima volta sul radar dei ricercatori nel 2019, quando Proofpoint ha scoperto una campagna di phishing rivolta a tre società statunitensi nel settore dei servizi pubblici che utilizzavano un nuovo malware poi soprannominato LookBack.
Circa un anno dopo, il gruppo di minacce è riemerso implementando un sofisticato RAT contro obiettivi Windows nel settore dei servizi pubblici degli Stati Uniti. Soprannominato FlowCloud e ritenuto l'evoluzione di Lookback, il RAT può accedere alle applicazioni installate e controllare la tastiera, il mouse, lo schermo, i file, i servizi e i processi di un computer infetto. Lo strumento può anche esfiltrare informazioni a un provider di comando e controllo (C2).
Ora i ricercatori ESET hanno scoperto che TA410 non è uno, ma in realtà tre sottogruppi di attori delle minacce - FlowingFrog, LookingFrog e JollyFrog - ciascuno "utilizza tattiche, tecniche e procedure (TTP) molto simili ma set di strumenti diversi ed esce da indirizzi IP situati in tre diversi distretti”, hanno scritto i ricercatori Alexandre Côté Cyr e Matthieu Faou nel rapporto.
I team hanno sovrapposizioni in termini di TTP, vittimizzazione e infrastruttura di rete e compromettono obiettivi globali, principalmente organizzazioni governative o educative, in vari modi, indicando che le vittime sono prese di mira in modo specifico, "con gli aggressori che scelgono quale metodo di accesso ha le migliori possibilità di infiltrarsi nel obiettivo", hanno detto i ricercatori.
Questi modi includono una nuova versione di FlowCloud e l'accesso alle più recenti vulnerabilità note di esecuzione di codice remoto di Microsoft Exchange, ProxyLogon e ProxyShell, tra gli altri strumenti, sia personalizzati che generici, specifici per ciascun gruppo, hanno scoperto i ricercatori.
I ricercatori hanno analizzato l'attività di ciascun sottogruppo, inclusi gli strumenti utilizzati e il tipo di vittime a cui mirano. Hanno anche identificato una sovrapposizione in cui gli attori lavorano insieme.
Flowing Frog condivide l'infrastruttura di rete, in particolare il dominio ffca.caibi379[.]com, con JollyFrog. Ha anche condotto la campagna di phishing scoperta da Proofpoint nel 2019 insieme a LookingFrog, hanno affermato i ricercatori.
I ricercatori hanno scoperto che il sottogruppo ha la sua modalità di attacco specifica e ha lanciato campagne contro obiettivi specifici, vale a dire università, missione diplomatica estera di un paese dell'Asia meridionale in Cina e una compagnia mineraria in India.
FlowingFrog utilizza una prima fase che i ricercatori ESET hanno chiamato Tendyron downloader, e poi FlowCloud come seconda fase, hanno affermato.
"Tendyron.exe è un eseguibile legittimo, firmato dal fornitore di servizi di sicurezza bancaria online Tendyron Corporation, ed è vulnerabile al dirottamento degli ordini di ricerca DLL", hanno spiegato i ricercatori.
FlowingFrog utilizza anche Royal Road, un generatore di documenti dannoso utilizzato da diversi gruppi di spionaggio informatico che crea documenti RTF sfruttando le vulnerabilità N-day di Equation Editor come CVE-2017-11882 , hanno affermato i ricercatori.
LookingFrog in genere prende di mira missioni diplomatiche, organizzazioni di beneficenza ed enti del governo e della produzione industriale utilizzando due principali famiglie di malware: X4 e LookBack.
X4 è una backdoor personalizzata che viene utilizzata come prima fase prima dell'implementazione di LookBack, spiegano i ricercatori. La backdoor viene caricata da un caricatore VMProtect, generalmente denominato PortableDeviceApi.dll o WptsExtensions.dll.
LookBack è un RAT scritto in C++ che si basa su uno strumento di comunicazione proxy per trasmettere i dati dall'host infetto al server di comando e controllo (C2). Il malware ha la capacità di visualizzare i dati di processo, di sistema e di file; cancella file; fare screenshot; spostare e fare clic con il mouse del sistema infetto; riavviare le macchine; ed eliminarsi da un host infetto.
LookBack comprende diversi componenti, tra cui uno strumento proxy C2, un caricatore di malware, un modulo di comunicazione per creare il canale C2 con lo strumento proxy GUP e un componente RAT per decodificare la risposta beacon iniziale ricevuta dallo strumento proxy GUP.
I ricercatori hanno scoperto che la terza e ultima squadra di TA410, JollyFrog, prende di mira le organizzazioni nel campo dell'istruzione, della religione e dell'esercito, nonché quelle con missioni diplomatiche. Anziché utilizzare strumenti personalizzati, il gruppo utilizza esclusivamente malware generico e standard delle famiglie note QuasarRAT e Korplug, alias PlugX.
Quasar RAT è una backdoor completa disponibile gratuitamente su GitHub ed è uno strumento popolare utilizzato dagli attori delle minacce di cyberspionaggio e criminalità informatica, hanno affermato i ricercatori. In precedenza è stato utilizzato in una campagna di phishing rivolta alle aziende con falsi curriculum Microsoft Word in cerca di lavoro e in una campagna informatica dannosa APT10 del 2019 contro il governo e le organizzazioni private nel sud-est asiatico.
Korplug è una backdoor che è stata utilizzata per anni anche da vari gruppi di cyberspionaggio e rimane uno strumento popolare. Il mese scorso, la cinese Mustang Panda/TA416/RedDelta ha utilizzato Korplug in una campagna di spionaggio contro missioni diplomatiche, enti di ricerca e fornitori di servizi Internet (ISP) nel sud-est asiatico e nei dintorni.
TA410 in genere distribuisce Korplug come un archivio RARSFX, generalmente denominato m.exe e contenente tre file: qrt.dll, acustom loader; qrtfix.exe, un'applicazione firmata legittima di F-Secure, vulnerabile al dirottamento dell'ordine di ricerca DLL; e qrt.dll.usb: lo shellcode Korplug.
"Il caricatore alloca memoria utilizzando VirtualAlloc e copia lì il contenuto di qrt.dll.usb", hanno spiegato i ricercatori. "Poi salta direttamente nello shellcode che decomprimerà e caricherà il payload Korplug."
Versione aggiornata di FlowCloudI ricercatori ESET hanno anche dato un'occhiata sotto il cofano di una versione aggiornata di FlowCloud attualmente utilizzata da TA410.
FlowCloud è un impianto complesso scritto in C++ composto da tre componenti principali: una funzionalità rootkit, un semplice modulo di persistenza e una backdoor personalizzata, distribuito in un processo multistadio che utilizza varie tecniche di offuscamento e crittografia per ostacolare l'analisi.
Mentre i ricercatori di Proofpoint hanno precedentemente analizzato le versioni di FlowCloud 4.1.3 e 5.0.1, TA410 ora utilizza le versioni di FlowCloud 5.0.2 e 5.0.3, che hanno nuove funzionalità, hanno affermato.
"Contrariamente a quelli trovati in precedenza, i campioni che abbiamo ottenuto per la versione 5.0.2 contengono messaggi di errore dettagliati e una registrazione meticolosa", hanno spiegato i ricercatori.
La nuova versione dello strumento ora può anche svolgere le seguenti attività:
Controllo dei microfoni collegati e attivazione della registrazione quando vengono rilevati livelli sonori superiori a un volume di soglia specificato;
Monitoraggio degli eventi negli appunti per rubare il contenuto degli appunti;
Monitoraggio degli eventi del file system per raccogliere file nuovi e modificati; e
Controllo dei dispositivi della fotocamera collegati per scattare foto dell'ambiente circostante il computer compromesso.
