研究人员发现,对美国公用事业进行网络间谍攻击的威胁组织实际上由三个子组组成,每个子组都有自己的工具集和攻击目标,自2018年以来一直在全球范围内运作。根据安全公司ESET的研究人员本周发布的一份报告,TA410是一个伞状网络间谍组织,不仅针对美国公用事业,还针对中东和非洲的外交组织。尽管TA410自2018年以来一直处于活跃状态,但研究人员直到2019年才首次发现TA410。那时,研究人员发现了一个针对实用程序的网络钓鱼活动,该活动使用了一种名为LookBack的新型恶意软件。大约一年后,该威胁组织重新浮出水面,在美国公共部门的Windows目标上部署了一个被称为FlowCloud的RAT,据信是Lookback的演变,它可以访问已安装的应用程序并控制受感染计算机的键盘、鼠标、屏幕、文件、服务和进程等。该工具还可以泄露命令和控制(C2)服务器内部的敏感信息。现在,ESET的研究人员发现,TA410不仅仅是一个个体,而是由三个威胁行为者组成。他们是流动的青蛙、寻找的青蛙和快乐的青蛙。每个小组使用非常相似的策略、技术和程序(TTP),但使用不同的工具集,并且攻击源来自三个不同区域的IP。“他们都以TTP和网络基础设施为目标,他们还使用各种方法来破坏世界各地的目标,主要包括政府或教育机构,这表明攻击者是有针对性的,并且攻击者会选择使用最好的方法进入内部系统并渗透。”研究人员发现,这些攻击方法包括利用新版本的FlowCloud和使用最近已知的MicrosoftExchange远程代码执行漏洞、ProxyLogon和ProxyShell,包括其他自定义和通用网络武器。FlowingFrog研究人员分析了每个子组的活动,包括他们使用的工具以及他们所针对的受害者类型。他们还发现这些攻击者的工作存在重叠。FlowingFrog与JollyFrog共享网络基础设施,特别是ffca.caibi379[.com]域。它还与LookingFrog合作进行了研究人员发现的网络钓鱼活动研究人员表示,2019年。研究人员发现,该子组织有自己特定的攻击模式,专门针对特定的目标群体——即大学、南亚国家驻中国的外交使团和印度的一家矿业公司。FlowingFrog将使用第一阶段攻击武器,ESET研究人员将其命名为Tendyron下载器,然后FlowCloud将进行第二阶段攻击。研究人员解释说,Tendyron.exe是由在线银行安全供应商Tendyron签名的合法可执行文件,但该文件容易受到DLL劫持。研究人员表示,FlowingFrog还使用RoyalRoad(一种被多个网络间谍组织使用的恶意文件漏洞)来构建利用公式编辑器N日漏洞(称为CVE-2017-11882)的RTF文件。LookingFrogLookingFrog通常使用两个主要的恶意软件系列,X4和LookBack,以外交使团、慈善组织以及政府和工业制造部门的实体为目标。研究人员解释说,X4是一个自定义后门,在部署LookBack之前用作第一阶段武器。后门需要通过VMProtect加载器加载,通常命名为PortableDeviceApi.dll或WptsExtensions.dll。LookBack是一种用C++编写的RAT,它依靠代理通信工具将数据从受感染的主机中继到命令和控制服务器(C2)。该恶意软件可以查看进程、系统和文件数据;删除文件;截图;移动并点击受感染系统的鼠标;重启机器;并从受感染的主机中删除自身。LookBack由许多模块组成。其中包括C2代理工具、恶意软件加载程序、与GUP代理工具建立C2通道的通信模块,以及从GUP代理工具接收初始信标响应的RAT组件。JollyFrog研究人员发现,TA410的第三个也是最后一个小组JollyFrog以教育、宗教和军事组织以及具有外交使命的组织为目标。该组织没有使用自定义工具,而是专门使用了通用的现成恶意软件,称为QuasarRAT和Korplug(又名PlugX)系列。研究人员表示,QuasarRAT是GitHub上免费提供的功能齐全的后门,是网络间谍和网络犯罪威胁行为者经常使用的工具。此前曾通过伪造求职者的Word简历对企业进行钓鱼攻击,2019年APT10曾对东南亚政府和民间组织进行恶意网络活动。Korplug也是一个后门,多年来也被各种网络间谍组织使用,并且仍然是一个流行的工具。上个月,MustangPanda/TA416/RedDelta在针对东南亚及其周边地区的外交使团、研究实体和互联网服务提供商(ISP)的间谍活动中使用了Korplug。TA410通常以RARSFX压缩包的形式部署Korplug,一般命名为m.exe,包含三个文件:自定义加载器;F-Secure合法签署的申请;和qrt.dll.usb——Korplug的shell攻击代码。“加载程序使用VirtualAlloc分配内存并将qrt.dll.usb的内容复制到其中。然后它直接解压缩并加载Korplug有效负载,”研究人员解释说。最新版本的FlowCloudESET研究人员还查看了TA410FlowCloud当前使用的代码的更新版本。FlowCloud是一个用C++语言编写的复杂文件,由三个主要组件组成——一个具有Rootkit功能的模块、一个简单的持久性模块和一个自定义后门,它们将通过多个阶段进行部署,并使用各种混淆和加密技术来防止被分析研究人员。Proofpoint研究人员此前分析了FlowCloud4.1.3和5.0.1版本,TA410现在使用FlowCloud5.0.2和5.0.3版本,具有更多新功能。研究人员解释说,与之前发现的相反,我们获得的5.0.2版样本包含错误信息和更精细的日志记录。本文翻译自:https://threatpost.com/apt-id-3-separate-actors/179435/如有转载请注明出处。
