Компания ESET предупреждает о новой активности группы кибершпионов TA410. По данным телеметрии ESET, злоумышленники нацелены преимущественно на государственный и образовательный секторы в разных странах.

По мнению исследователей, группа TA410 состоит из 3 разных подгрупп (FlowingFrog, LookingFrog и JollyFrog), которые используют подобные тактики, техники и процедуры, но при этом имеют разные инструменты и цели. Одной из вредоносных программ, которые используются киберпреступниками, является новая версия бекдора FlowCloud.

Большинство целей TA410 являются ведущими дипломатическими и образовательными организациями, но специалисты ESET также обнаружили жертв в военном секторе, производственной компании в Японии, горнодобывающем предприятии в Индии и благотворительной организации в Израиле.

Заражение пользователей происходит с помощью использования уязвимостей в интернет-приложениях, таких как Microsoft Exchange, или отправки писем с вредоносными документами. «Это указывает на то, что их атаки целенаправлены, а злоумышленники выбирают оптимальный метод для инфицирования определенной цели», — объясняет Александр Коте Сир, исследователь ESET.

Несмотря на то, что новая версия FlowCloud, которая используется подгруппой FlowingFrog, все еще проходит разработку и тестирование, она имеет ряд расширенных возможностей для кибершпионажа. В частности, вредоносная программа может перехватывать нажатие мыши, активность клавиатуры и содержимое буфера обмена, а также информацию об открытом окне.

Кроме того, FlowCloud также может делать снимки с помощью подключенных устройств камеры и записывать аудио с помощью микрофона компьютера. «Эта функция автоматически запускается любым звуком более 65 децибелов, который находится в верхнем диапазоне обычной громкости разговора. Функция записи звука в шпионской программе запускается, когда выполняется действие на зараженной машине, например, при открытии приложения для видеоконференции или когда злоумышленники отправляют конкретную команду», — объясняет исследователь ESET.

Группа TA410 активна по меньшей мере с 2018 года и впервые была публично раскрыта в августе 2019 года компанией Proofpoint. Через год новое на то время семейство вредоносных программ под названием FlowCloud также было отнесено к набору инструментов TA410.