Специалисты международной компании ESET, являющейся разработчиком антивирусного программного обеспечения, предупреждают о новой активности группы кибершпионов TA410, которые нацелены преимущественно на государственный и образовательный сектора в разных странах.
По мнению исследователей ESET, группа TA410 состоит из 3 различных подгрупп (FlowingFrog, LookingFrog и JollyFrog), которые используют подобные тактики, техники и процедуры, но при этом имеют различные инструменты и цели. Одной из вредоносных программ, которую используют киберпреступники, есть новая версия бэкдора FlowCloud, что получает доступ к камере и микрофону жертв.
Большинство целей TA410 являются ведущими дипломатическими и образовательными организациями, но специалисты ESET также обнаружили жертв в военном секторе, производственной компании в Японии, горнодобывающем предприятии в Индии и благотворительной организации в Израиле.
Инфицирование пользователей происходит при помощи использования уязвимостей в интернет-приложениях, таких как Microsoft Exchange, или отправки писем с вредоносными документами.
"Это указывает на то, что их атаки целенаправленны, а злоумышленники выбирают оптимальный метод для инфицирования определенной цели", — объясняет исследователь ESET Александр Коте Сир.
Несмотря на то, что новая версия FlowCloud, которую использует подгруппа FlowingFrog, все еще проходит разработку и тестирование, она имеет ряд расширенных возможностей для кибершпионажа. В частности вредоносная программа может перехватывать нажатие мыши, активность клавиатуры и содержимое буфера обмена, а также информацию об открытом окне.
Кроме этого, FlowCloud также способна делать снимки с помощью подключенных устройств камеры и записывать аудио с помощью микрофона компьютера.
"Эта функция автоматически запускается любым звуком более 65 децибел, что находится в верхнем диапазоне обычной громкости разговора. Функция записи звука в шпионской программе запускается, когда выполняется действие на инфицированной машине, например, при открытии приложения для видеоконференции или когда злоумышленники присылают конкретную команду", — объясняет исследователь ESET.
Группа TA410 активна по меньшей мере с 2018 года, и впервые была публично раскрыта в августе 2019 года компанией Proofpoint. Через год новое на то время семейство вредоносных программ под названием FlowCloud также было отнесено к набору инструментов TA410.
Справка УНИАН. Компания ESET – эксперт в области защиты от киберпреступности и цифровых угроз, международный разработчик решений по ІТ-безопасности, ведущий поставщик в области создания технологий обнаружения угроз. Основанная в 1992 году, компания ESET сегодня имеет расширенную партнерскую сеть и представительства в более чем 180 странах мира. Главный офис компании находится в Братиславе, Словакия.