{"id":19352,"date":"2022-04-28T19:33:50","date_gmt":"2022-04-28T22:33:50","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=19352"},"modified":"2022-04-28T19:33:52","modified_gmt":"2022-04-28T22:33:52","slug":"hackers-trabalhando-sob-o-guarda-chuva-do-grupo-ta410","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2022\/04\/basico\/hackers-trabalhando-sob-o-guarda-chuva-do-grupo-ta410\/","title":{"rendered":"Hackers trabalhando sob o guarda-chuva do Grupo TA410"},"content":{"rendered":"\n

Especialistas detalham 3 equipes de hackers trabalhando sob o guarda-chuva do Grupo TA410<\/span><\/h1>\n

\u00a0<\/p>\n

Um agente de amea\u00e7as de ciberespionagem conhecido por atacar uma variedade de setores cr\u00edticos de infraestrutura na \u00c1frica, Oriente M\u00e9dio e EUA foi observado usando uma vers\u00e3o atualizada de um trojan de acesso remoto com recursos de roubo de informa\u00e7\u00f5es.<\/span><\/p>\n

\u00a0<\/p>\n

Chamando o <\/span><\/span>TA410 de<\/span> um grupo abrangente composto por tr\u00eas equipes apelidadas de FlowingFrog, LookingFrog e JollyFrog, a empresa eslovaca de seguran\u00e7a cibern\u00e9tica ESET <\/span><\/span>avaliou<\/span><\/span> que “esses subgrupos operam de forma independente, mas podem compartilhar requisitos de intelig\u00eancia, uma equipe de acesso que executa suas campanhas de spear-phishing e tamb\u00e9m a equipe que implanta a infraestrutura de rede.”<\/span><\/span><\/p>\n

\u00a0<\/p>\n

O TA410\u00a0 que se diz compartilhar sobreposi\u00e7\u00f5es comportamentais e de ferramentas com <\/span>o APT10<\/span> (tamb\u00e9m conhecido como Stone Panda ou TA429)\u00a0 tem um hist\u00f3rico de atingir organiza\u00e7\u00f5es sediadas nos EUA no setor de servi\u00e7os p\u00fablicos, bem como entidades diplom\u00e1ticas no Oriente M\u00e9dio e na \u00c1frica.<\/span><\/p>\n

\u00a0<\/p>\n

\n
\u00a0<\/div>\n<\/div>\n
\n
\"Guarda-chuva<\/a><\/div>\n<\/div>\n

\u00a0<\/p>\n

Outras v\u00edtimas identificadas do coletivo de hackers incluem uma empresa de manufatura no Jap\u00e3o, uma empresa de minera\u00e7\u00e3o na \u00cdndia e uma institui\u00e7\u00e3o de caridade em Israel, al\u00e9m de v\u00edtimas n\u00e3o identificadas nas verticais de educa\u00e7\u00e3o e militares.<\/span><\/p>\n

\u00a0<\/p>\n

O TA410 foi <\/span><\/span>documentado pela primeira vez<\/span><\/span> pela Proofpoint em agosto de 2019, quando o agente da amea\u00e7a desencadeou campanhas de phishing contendo documentos carregados de macros para comprometer provedores de servi\u00e7os p\u00fablicos nos EUA com um malware modular chamado LookBack.<\/span><\/span><\/p>\n

\u00a0<\/p>\n

Quase um ano depois, o grupo voltou com um novo backdoor codinome FlowCloud, tamb\u00e9m entregue a provedores de servi\u00e7os p\u00fablicos dos EUA, que a Proofpoint descreveu como malware que d\u00e1 aos invasores controle total sobre os sistemas infectados.<\/span><\/p>\n

\u00a0<\/p>\n

\"Grupo<\/a><\/div>\n
\u00a0<\/div>\n
\u00a0<\/div>\n
\n

\u201cSua funcionalidade de acesso remoto trojan (RAT) inclui a capacidade de acessar aplicativos instalados, teclado, mouse, tela, arquivos, servi\u00e7os e processos com a capacidade de exfiltrar informa\u00e7\u00f5es por meio de comando e controle\u201d, informou<\/span><\/span> a empresa em junho de 2020.
<\/span><\/span><\/p>\n

\u00a0<\/p>\n

A empresa de seguran\u00e7a cibern\u00e9tica industrial Dragos, que rastreia o grupo de atividades sob o nome TALONITE, destacou a propens\u00e3o do grupo para combinar t\u00e9cnicas e t\u00e1ticas para garantir uma invas\u00e3o bem-sucedida.<\/span><\/p>\n

\u00a0<\/p>\n

\u201cO TALONITE se concentra em subverter e aproveitar a confian\u00e7a com iscas de phishing com foco em temas e conceitos espec\u00edficos de engenharia, malware que abusa de bin\u00e1rios leg\u00edtimos ou modifica esses bin\u00e1rios para incluir funcionalidades adicionais e uma combina\u00e7\u00e3o de infraestrutura de rede pr\u00f3pria e comprometida\u201d, <\/span>conforme <\/span>Dragos em abril de 2021.<\/span><\/p>\n<\/div>\n

\u00a0<\/p>\n

\"Grupo<\/a><\/div>\n

\u00a0<\/p>\n

A investiga\u00e7\u00e3o da ESET sobre o “modus operandi” e o conjunto de ferramentas da equipe de hackers lan\u00e7ou luz sobre uma nova vers\u00e3o do FlowCloud, que vem com a capacidade de gravar \u00e1udio usando o microfone de um computador, monitorar eventos da \u00e1rea de transfer\u00eancia e controlar dispositivos de c\u00e2mera conectados para tirar fotos.<\/span><\/span><\/p>\n

\u00a0<\/p>\n

Especificamente, a fun\u00e7\u00e3o de grava\u00e7\u00e3o de \u00e1udio foi projetada para ser acionada automaticamente quando os n\u00edveis de som pr\u00f3ximos ao computador comprometido cruzarem um limite de 65 decib\u00e9is.<\/span><\/p>\n

\u00a0<\/p>\n

O TA410 tamb\u00e9m \u00e9 conhecido por aproveitar tanto o spear-phishing quanto os aplicativos vulner\u00e1veis \u200b\u200bvoltados para a Internet, como Microsoft Exchange, SharePoint e SQL Servers, para obter acesso inicial.<\/span><\/p>\n

\u00a0<\/p>\n

\u201cIsso indica para n\u00f3s que suas v\u00edtimas s\u00e3o direcionadas especificamente, com os invasores escolhendo qual m\u00e9todo de entrada tem a melhor chance de se infiltrar no alvo\u201d, disse Alexandre C\u00f4t\u00e9 Cyr, pesquisador de malware da <\/span><\/span>E<\/span><\/span>SET<\/span><\/span> .<\/span><\/span><\/p>\n

\u00a0<\/p>\n

Diz-se que cada equipe dentro do guarda-chuva TA410 usa diferentes conjuntos de ferramentas. Enquanto o JollyFrog depende de malware de prateleira, como QuasarRAT e Korplug (tamb\u00e9m conhecido como <\/span>PlugX<\/span> ), o LookingFrog usa o X4, um implante b\u00e1sico e o LookBack.<\/span><\/p>\n

\u00a0<\/p>\n

O FlowingFrog, por outro lado, emprega um downloader chamado Tendyron que \u00e9 entregue por meio do <\/span>armamento Royal Road RTF<\/span> , usando-o para baixar o FlowCloud, bem como um segundo backdoor, baseado no <\/span>Gh0stRAT<\/span> (tamb\u00e9m conhecido como Farfli).<\/span><\/p>\n

\u00a0<\/p>\n

\u201cO TA410 \u00e9 um guarda-chuva de ciberespionagem visando entidades de alto perfil, como governos e universidades em todo o mundo\u201d, disse a ESET. “Mesmo que a equipe JollyFrog use ferramentas gen\u00e9ricas, FlowingFrog e LookingFrog t\u00eam acesso a implantes complexos, como FlowCloud e LookBack.”<\/span><\/p>\n

\u00a0<\/p>\n

Este artigo \u00e9 uma tradu\u00e7\u00e3o de: https:\/\/thehackernews.com\/2022\/04\/experts-detail-3-hacking-teams-working.html\u00a0<\/a> (Autor: Ravie Lakshmanan)<\/span><\/p>\n

\u00a0<\/p>\n\n\n","protected":false},"excerpt":{"rendered":"

Especialistas detalham 3 equipes de hackers trabalhando sob o guarda-chuva do Grupo TA410 \u00a0 Um agente de amea\u00e7as de ciberespionagem conhecido por atacar uma variedade de setores cr\u00edticos de infraestrutura na \u00c1frica, Oriente M\u00e9dio e EUA foi observado usando uma vers\u00e3o atualizada de um trojan de acesso remoto com recursos de roubo de informa\u00e7\u00f5es. \u00a0 […]<\/p>\n","protected":false},"author":2,"featured_media":19355,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,105],"tags":[],"class_list":["post-19352","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-noticias"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19352","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=19352"}],"version-history":[{"count":3,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19352\/revisions"}],"predecessor-version":[{"id":19356,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19352\/revisions\/19356"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/19355"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=19352"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=19352"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=19352"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}