APT網絡間諜組織確認由三個獨立的團隊組成
研究人員發現,這個對美國公用事業進行網絡間諜攻擊的威脅集團實際上是由三個子集團組成的,他們都有自己的工具集和攻擊目標,自2018年以來就一直在全球運作。
TA410是一個傘式網絡間諜組織,根據安全公司ESET的研究人員本周發表的一份報告,該組織不僅針對美國的公共事業部門進行攻擊,而且還會針對中東和非洲的外交組織進行攻擊。
雖然它從2018年以來就一直很活躍,但TA410直到2019年才首次被研究人員發現。當時研究員發現了一個針對公用事業部門進行攻擊的網絡釣魚活動,該活動使用了一種當時被稱為LookBack的新型惡意軟件。
大約一年后,該威脅組織再次出現,對美國公共事業部門的Windows目標部署了一個被稱為FlowCloud的RAT,其被認為是Lookback的進化版,它可以訪問已安裝的應用程序并控制受感染計算機的鍵盤、鼠標、屏幕、文件、服務和進程等。該工具還可以將敏感信息滲透到命令和控制(C2)服務器內。
現在,ESET的研究人員發現,TA410并不是只有一個人,實際上是由三個威脅行為者組成的。他們是FlowingFrog、LookingFrog和JollyFrog。每個小組都使用了非常相似的戰術、技術和程序(TTPs),但工具集不同,攻擊源來自三個不同地區的IP。
研究人員說:"他們都針對TTPs和網絡基礎設施進行攻擊,他們還會用各種方式破壞全球的目標,主要包括政府或教育組織等,這表明攻擊者是有針對性的,并且攻擊者會選擇使用最好的方式進入到系統內部進行滲透。”
研究人員發現,這些攻擊方式包括利用新版本的FlowCloud以及使用最近已知的微軟Exchange遠程代碼執行漏洞、ProxyLogon和ProxyShell,包括其他定制的和通用的網絡武器。
APT網絡間諜組織確認由三個獨立的團隊組成
FlowingFrog
研究人員分析了每個子集團的活動,包括他們使用的工具和他們所針對的受害者的類型。他們還發現了這些攻擊者在工作中的重疊部分。
Flowing Frog與JollyFrog共享網絡基礎設施,特別是ffca.caibi379[.com]域名。研究人員說,它還與LookingFrog一起開展了研究員在2019年發現的網絡釣魚活動。
研究人員發現,該子集團有自己特定的攻擊模式,并專門針對特定的目標群體--即大學、南亞國家駐中國的外交使團和印度的一家礦業公司,進行攻擊活動。
FlowingFrog會使用第一階段的攻擊武器,ESET研究人員將其命名為Tendyron下載器,然后FlowCloud進行第二階段的攻擊。
研究人員解釋說,Tendyron.exe是一個合法的可執行文件,由在線銀行安全廠商Tendyron公司簽署,但是該文件容易受到DLL劫持。
研究人員說,FlowingFrog還使用了Royal Road,這是一個由幾個網絡間諜組織使用的惡意文件攻擊器,它構建的RTF文件利用了Equation Editor的 N-day漏洞,如CVE-2017-11882。
LookingFrog
LookingFrog通常會使用X4和LookBack這兩個主要惡意軟件系列來針對外交使團、慈善組織以及政府和工業制造領域的實體進行攻擊。
研究人員解釋說,X4是一個定制的后門,在LookBack部署之前作為第一階段的武器進行使用。該后門需要由一個VMProtect加載器進行加載,其通常被命名為PortableDeviceApi.dll或WptsExtensions.dll。
LookBack是一個用C++編寫的RAT,其依靠代理通信工具將數據從受感染的主機中轉到命令和控制服務器(C2)內。該惡意軟件可以查看進程、系統和文件數據;刪除文件;截圖;移動和點擊受感染系統的鼠標;重啟機器;以及從受感染主機上刪除自己。
LookBack由眾多模塊組成。其中包括一個C2代理工具、一個惡意軟件加載器、一個與GUP代理工具建立C2通道的通信模塊,以及一個從GUP代理工具接收初始信標響應的RAT組件。
JollyFrog
研究人員發現,TA410的第三個也是最后一個團隊JollyFrog的攻擊目標是教育、宗教和軍隊以及那些有外交任務的組織。該小組并沒有使用定制的工具,而是專門使用已知的QuasarRAT和Korplug(又稱PlugX)家族的通用現成的惡意軟件。
研究人員說,Quasar RAT是一個在GitHub上免費提供的全部功能的后門軟件,是網絡間諜和網絡犯罪威脅者經常使用的一個工具。它以前曾通過偽造求職者的Word簡歷來針對公司進行網絡釣魚攻擊活動,并且2019年APT10曾經針對東南亞政府和私人組織進行惡意的網絡活動。
Korplug也是一個后門,多年來也被各種網絡間諜組織所使用,并且仍然是一個很受歡迎的工具。上個月,Mustang Panda/TA416/RedDelta在針對東南亞及其周邊地區的外交使團、研究實體和互聯網服務提供商(ISP)的間諜活動中使用了Korplug。
TA410通常會以RARSFX檔案的形式來部署Korplug,一般命名為m.exe,其包含三個文件:自定義的加載器;F-Secure的合法簽名應用程序;以及qrt.dll.usb—Korplug的shell攻擊代碼。
研究人員解釋說:"加載器使用了VirtualAlloc來分配內存并將qrt.dll.usb的內容復制進去。然后它會直接進行解壓和加載Korplug有效載荷。”
FlowCloud的最新版
ESET研究人員還查看了TA410目前所使用的FlowCloud的更新版本的代碼。
FlowCloud是一個用C++語言編寫的復雜文件,由三個主要組件組成--一個具有rootkit功能的模塊、一個簡單的具有持久性的模塊和一個自定義后門,他們會通過多個階段來進行部署,并且使用各種混淆和加密技術來防止被研究員分析。
Proofpoint的研究人員之前分析了FlowCloud的4.1.3和5.0.1版本,而TA410現在使用的是FlowCloud的5.0.2和5.0.3版本,它們具有了更多新的功能。
研究人員解釋說,與之前發現的相反,我們獲得的5.0.2版本的樣本中包含了錯誤信息和更多細致的記錄。
