研究人員發(fā)現(xiàn)，這個對美國公用事業(yè)進行網(wǎng)絡間諜攻擊的威脅集團實際上是由三個子集團組成的，他們都有自己的工具集和攻擊目標，自2018年以來就一直在全球運作。

TA410是一個傘式網(wǎng)絡間諜組織，根據(jù)安全公司ESET的研究人員本周發(fā)表的一份報告，該組織不僅針對美國的公共事業(yè)部門進行攻擊，而且還會針對中東和非洲的外交組織進行攻擊。

雖然它從2018年以來就一直很活躍，但TA410直到2019年才首次被研究人員發(fā)現(xiàn)。當時研究員發(fā)現(xiàn)了一個針對公用事業(yè)部門進行攻擊的網(wǎng)絡釣魚活動，該活動使用了一種當時被稱為LookBack的新型惡意軟件。

大約一年后，該威脅組織再次出現(xiàn)，對美國公共事業(yè)部門的Windows目標部署了一個被稱為FlowCloud的RAT，其被認為是Lookback的進化版，它可以訪問已安裝的應用程序并控制受感染計算機的鍵盤、鼠標、屏幕、文件、服務和進程等。該工具還可以將敏感信息滲透到命令和控制(C2)服務器內。

現(xiàn)在，ESET的研究人員發(fā)現(xiàn)，TA410并不是只有一個人，實際上是由三個威脅行為者組成的。他們是FlowingFrog、LookingFrog和JollyFrog。每個小組都使用了非常相似的戰(zhàn)術、技術和程序(TTPs)，但工具集不同，攻擊源來自三個不同地區(qū)的IP。

研究人員說："他們都針對TTPs和網(wǎng)絡基礎設施進行攻擊，他們還會用各種方式破壞全球的目標，主要包括政府或教育組織等，這表明攻擊者是有針對性的，并且攻擊者會選擇使用最好的方式進入到系統(tǒng)內部進行滲透。”

研究人員發(fā)現(xiàn)，這些攻擊方式包括利用新版本的FlowCloud以及使用最近已知的微軟Exchange遠程代碼執(zhí)行漏洞、ProxyLogon和ProxyShell，包括其他定制的和通用的網(wǎng)絡武器。

FlowingFrog

研究人員分析了每個子集團的活動，包括他們使用的工具和他們所針對的受害者的類型。他們還發(fā)現(xiàn)了這些攻擊者在工作中的重疊部分。

Flowing Frog與JollyFrog共享網(wǎng)絡基礎設施，特別是ffca.caibi379[.com]域名。研究人員說，它還與LookingFrog一起開展了研究員在2019年發(fā)現(xiàn)的網(wǎng)絡釣魚活動。

研究人員發(fā)現(xiàn)，該子集團有自己特定的攻擊模式，并專門針對特定的目標群體--即大學、南亞國家駐中國的外交使團和印度的一家礦業(yè)公司，進行攻擊活動。

FlowingFrog會使用第一階段的攻擊武器，ESET研究人員將其命名為Tendyron下載器，然后FlowCloud進行第二階段的攻擊。

研究人員解釋說，Tendyron.exe是一個合法的可執(zhí)行文件，由在線銀行安全廠商Tendyron公司簽署，但是該文件容易受到DLL劫持。

研究人員說，F(xiàn)lowingFrog還使用了Royal Road，這是一個由幾個網(wǎng)絡間諜組織使用的惡意文件攻擊器，它構建的RTF文件利用了Equation Editor的 N-day漏洞，如CVE-2017-11882。

LookingFrog

LookingFrog通常會使用X4和LookBack這兩個主要惡意軟件系列來針對外交使團、慈善組織以及政府和工業(yè)制造領域的實體進行攻擊。

研究人員解釋說，X4是一個定制的后門，在LookBack部署之前作為第一階段的武器進行使用。該后門需要由一個VMProtect加載器進行加載，其通常被命名為PortableDeviceApi.dll或WptsExtensions.dll。

LookBack是一個用C++編寫的RAT，其依靠代理通信工具將數(shù)據(jù)從受感染的主機中轉到命令和控制服務器(C2)內。該惡意軟件可以查看進程、系統(tǒng)和文件數(shù)據(jù);刪除文件;截圖;移動和點擊受感染系統(tǒng)的鼠標;重啟機器;以及從受感染主機上刪除自己。

LookBack由眾多模塊組成。其中包括一個C2代理工具、一個惡意軟件加載器、一個與GUP代理工具建立C2通道的通信模塊，以及一個從GUP代理工具接收初始信標響應的RAT組件。

JollyFrog

研究人員發(fā)現(xiàn)，TA410的第三個也是最后一個團隊JollyFrog的攻擊目標是教育、宗教和軍隊以及那些有外交任務的組織。該小組并沒有使用定制的工具，而是專門使用已知的QuasarRAT和Korplug(又稱PlugX)家族的通用現(xiàn)成的惡意軟件。

研究人員說，Quasar RAT是一個在GitHub上免費提供的全部功能的后門軟件，是網(wǎng)絡間諜和網(wǎng)絡犯罪威脅者經常使用的一個工具。它以前曾通過偽造求職者的Word簡歷來針對公司進行網(wǎng)絡釣魚攻擊活動，并且2019年APT10曾經針對東南亞政府和私人組織進行惡意的網(wǎng)絡活動。

Korplug也是一個后門，多年來也被各種網(wǎng)絡間諜組織所使用，并且仍然是一個很受歡迎的工具。上個月，Mustang Panda/TA416/RedDelta在針對東南亞及其周邊地區(qū)的外交使團、研究實體和互聯(lián)網(wǎng)服務提供商(ISP)的間諜活動中使用了Korplug。

TA410通常會以RARSFX檔案的形式來部署Korplug，一般命名為m.exe，其包含三個文件：自定義的加載器;F-Secure的合法簽名應用程序;以及qrt.dll.usb—Korplug的shell攻擊代碼。

研究人員解釋說："加載器使用了VirtualAlloc來分配內存并將qrt.dll.usb的內容復制進去。然后它會直接進行解壓和加載Korplug有效載荷?！?/p>

FlowCloud的最新版

ESET研究人員還查看了TA410目前所使用的FlowCloud的更新版本的代碼。

FlowCloud是一個用C++語言編寫的復雜文件，由三個主要組件組成--一個具有rootkit功能的模塊、一個簡單的具有持久性的模塊和一個自定義后門，他們會通過多個階段來進行部署，并且使用各種混淆和加密技術來防止被研究員分析。

Proofpoint的研究人員之前分析了FlowCloud的4.1.3和5.0.1版本，而TA410現(xiàn)在使用的是FlowCloud的5.0.2和5.0.3版本，它們具有了更多新的功能。

研究人員解釋說，與之前發(fā)現(xiàn)的相反，我們獲得的5.0.2版本的樣本中包含了錯誤信息和更多細致的記錄。

本文翻譯自：https://threatpost.com/apt-id-3-separate-actors/179435/如若轉載，請注明原文地址。