Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Эксперты рассказали о трех кибергруппировках, объединенных под названием TA410 (http://txgate.io:443/showthread.php?t=12565)

Artifact 01-14-2025 02:34 AM

TA410 вооружились новой версией трояна для удаленного доступа LookBack с функцией инфостилера.
https://www.securitylab.ru/upload/ib...c6a50cbd17.jpg
Кибершпионская группа, известная своими атаками на критическую инфраструктуру в странах Африки, Среднего Востока и в США, вооружилась новой версией трояна для удаленного доступа с функцией инфостилера.
Группа TA410 состоит из трех команд: FlowingFrog, LookingFrog и JollyFrog. По данным специалистов ИБ-компании ESET, они работают независимо друг от друга, но используют одну и ту же команду хакеров для проведения операций целенаправленного фишинга и имеют общую сетевую инфраструктуру.
Тактики и некоторые инструменты TA410 также использует киберпреступная группировка APT10 (Stone Panda, TA429), атакующая коммунальные предприятия в США и дипломатические миссии в странах Среднего Востока и Африки.
Впервые о TA410 сообщили специалисты ИБ-компании Proofpoint в августе 2019 года, когда группа проводила фишинговые кампании, нацеленные на американские коммунальные предприятия. В ходе кампании хакеры рассылали жертвам письма с документами, содержавшими вредоносные макросы, устанавливающие на системы модульное вредоносное ПО LookBack.
Примерно через год группа вернулась с новым бэкдором под названием FlowCloud, также использовавшимся в атаках на коммунальные предприятия в США. Вредонос представлял собой троян для удаленного доступа и обеспечивал хакерам доступ к установленным на взломанной системе приложениям, клавиатуре, мыши, экрану, файлам, сервисам и процессам.
В ходе расследования атак TA410 специалисты ESET обнаружили новую версию FlowCloud, способную записывать звук через микрофон компьютера, мониторить действия с буфером обмена и делать фото с помощью подключенной к устройству камеры.
Помимо целенаправленного фишинга, для получения первоначального доступа к системам жертв TA410 эксплуатирует уязвимости в доступных через интернет приложениях Microsoft Exchange, SharePoint и SQL Servers.
Каждая входящая в TA410 команда использует разные наборы инструментов. JollyFrog полагается на готовые варианты QuasarRAT и Korplug (PlugX), LookingFrog использует X4, «сырой» имплант с функцией удаленного доступа, а также вредоносное ПО LookBack.
В свою очередь, FlowingFrog использует загрузчик Tendyron, который доставляется с помощью Royal Road RTF, используя его для загрузки FlowCloud, а также второго бэкдора на базе Gh0stRAT (он же Farfli).


All times are GMT. The time now is 12:24 PM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.