Siber güvenlik şirketi ESET casusluk yeteneklerine sahip bir art kapı olarak tanımlanan TA410 ile ilgili Avcılar Escort araştırmasını yayınladı
Ses kaydediyor klavye hareketlerini takip ediyor
kamerayı denetim ediyor
TA410 siber casusluk grubu
ESET Araştırma Ünitesi çoğunlukla kamu hizmetleri kesimindeki ABD merkezli kuruluşları ve Orta Doğu ve Afrika’daki Beylikdüzü Escort diplomatik kuruluşları maksat almasıyla tanınan APT10 ile kontaklı bir siber casusluk şemsiyesi kümesi olan TA410 un detaylı bir profilini ortaya koydu
ESET araştırmacıları bu kümenin ESET tarafından keşfedilen yeni bir Esenyurt Escort FlowCloud sürümü de dahil olmak üzere farklı araç setlerini kullanan üç farklı takımdan oluştuğunu düşünüyor Küme değişik casusluk yeteneklerine sahip çok karmaşık bir art kapı ESET devam eden araştırmaların sonuçları da dahil olmak üzere TA410 tehdit kümesi ile ilgili en son bulgularını Botconf 2022 sırasında sunacağını açıkladı
ESET tarafından yapılan açıklamada şu bilgilere yer verildi
- TA410 her biri kendi araç seti ve amaçları olan ve ESET araştırmacılarının FlowingFrog LookingFrog ve JollyFrog ismini verdiği üç takımdan oluşan bir şemsiye küme
- ESET telemetrisi başta kamu ve eğitim kesimleri olmak üzere dünyanın her yerinde bu kümenin kurbanları olduğunu gösteriyor
- TA410’un bilinen en son Microsoft Exchange uzaktan kod yürütme güvenlik açıklarına erişimi vardı örneğin Mart 2021’de ProxyLogon ve Ağustos 2021’de ProxyShell
- ESET araştırmacıları FlowingFrog tarafından kullanılan karmaşık ve modüler bir C RAT olan FlowCloud’un çeşitli farklı özelliklere sahip yeni bir sürümünü buldu Bu özellikler ortasında şunlar bulunuyor
- Bağlı mikrofonları denetim etme ve muhakkak bir eşik hacminin üzerindeki ses düzeyleri algılandığında kaydı başlatma
- Pano içeriğini çalmak için pano olaylarını izleme
- Yeni ve değiştirilmiş evrakları toplamak için belge sistemi olaylarını izleme
- Güvenliği ihlal edilmiş bilgisayarın etrafının fotoğraflarını çekmek için bağlı kamera aygıtlarını denetim etme
Hedef aldığı ülkeler içinde Türkiye de yer alıyor
Aşağıda FlowingFrog LookingFrog ve JollyFrog olarak anılan bu takımların taktik teknik ve prosedürleri kurbanları ve ağ altyapıları açısından benzerlikler var
ESET araştırmacıları ayrıyeten bu alt kümelerin bir formda bağımsız çalıştığını fakat istihbarat ihtiyaçlarını maksada yönelik kimlik avı kampanyalarını yürüten bir erişim takımını ve ayrıyeten ağ altyapısını dağıtan grubu paylaşabileceklerini varsayıyor
TA410 maksatlarının birden fazla diplomasi ve eğitim bölümlerindeki yüksek profilli kuruluşlar Buna rağmen ESET askeri bölümdeki kurbanları Japonya’da bir üretim şirketi Hindistan’da bir maden şirketi ve İsrail’de bir hayır kurumu da tespit etti TA410’un Çin’deki yabancı bireyleri maksat aldığı da belirtiliyor ESET telemetrisine nazaran bu durum en az iki defa gerçekleşti örneğin kurbanlardan biri bir Fransız akademisyen başkası ise bir Güney Asya ülkesinin Çin’deki diplomatik misyonunun bir üyesiydi
Hedeflere birinci erişim Microsoft Exchange üzere internete açık uygulamalardan yararlanarak yahut berbat hedefli evraklar içeren amaca yönelik kimlik avı e postaları göndererek elde edilir ESET makûs hedefli yazılım araştırmacısı Alexandre Côté Cyr bu durumu şöyle açıklıyor Bu bize, kurbanlarının bilhassa maksat alındığını ve saldırganların amaca sızma bahtının en yüksek olduğu kurbanları seçtikleri manasına geliyor.” ESET araştırmacıları, FlowingFrog takımı tarafından kullanılan FlowCloud’un bu sürümünün hala geliştirme ve test basamağında olduğuna inansa da, bu sürümün siber casusluk yetenekleri ortasında geçerli ön plan penceresiyle ilgili bilgileri toplamanın yanı sıra fare hareketlerini, klavye aktifliğini ve pano içeriğini toplama yeteneği de yer alıyor. Bu bilgiler, saldırganların çalınan bilgileri bağlama oturtarak anlamasına yardımcı olabilir.
Ayrıca FlowCloud bağlı kamera etraf üniteleri yoluyla fotoğraf çekerek ve bir bilgisayarın mikrofonu yoluyla ses kaydederek kurbanın bilgisayarında olup bitenler hakkında bilgi toplayabilir Côté Cyr kelamlarına şöyle devam ediyor: “Bu ikinci fonksiyon, olağan konuşma hacminin üst aralığında olan 65 desibel eşiğinin üzerindeki rastgele bir sesle otomatik olarak başlar. Siber casusluk berbat hedefli yazılımlarındaki tipik ses kayıt fonksiyonları, etkilenen makinede bir aksiyon gerçekleştirildiğinde (örneğin, bir görüntü konferans uygulaması çalıştırıldığında) yahut operatörleri tarafından makûs gayeli yazılıma makul bir komut gönderildiğinde başlatılır.”
TA410 en az 2018’den beri etkindir ve birinci olarak Ağustos 2019’da Proofpoint tarafından LookBack blog yazısında kamuya duyuruldu Bir yıl sonra o vakitler yeni ve çok karmaşık bir makus maksatlı yazılım ailesi olan FlowCloud da TA410 ile ilişkilendirildi
Kaynak BHA Beyaz Haber Ajansı
