TA410: El actor amenaza cibernética de tres cabezas

Según la investigación publicada por ESET, se han hecho nuevos descubrimientos sobre un grupo de ciberespionaje denominado TA410, que ha estado activo al menos desde 2018 y ha dirigido sus ataques hacia empresas en el sector de servicios públicos en los Estados Unidos y organizaciones diplomáticas en África y Oriente Medio.

Este grupo tiene cierta relación con APT10, otro grupo de ciberespionaje vinculado al Ministerio de Seguridad del Estado de China.

Índice de Contenido
  1. TA410: No es un solo grupo, sino tres
  2. ¿Quiénes son las víctimas de TA410?
  3. ¿Cuál es el esquema de ataque de TA410?
  4. Otras herramientas utilizadas por TA410
  5. El exclusivo arsenal de TA410
    1. Malware FlowCloud
    2. Malware X4 y LookBack
  6. Cómo protegerse de TA410

TA410: No es un solo grupo, sino tres

Inicialmente se pensaba que TA410 era un único grupo, pero ESET revela que en realidad son tres equipos diferentes. Estos equipos se diferencian por las herramientas que utilizan y por el uso de direcciones IP ubicadas en tres distritos diferentes. Sin embargo, utilizan tácticas, técnicas y procedimientos muy similares, lo que dificulta separar realmente sus actividades.

Estos equipos son conocidos como FlowingFrog, LookingFrog y JollyFrog.

Se cree que estos tres equipos trabajan de forma independiente, pero comparten inteligencia. Además, existe un equipo encargado de llevar a cabo campañas de spear phishing y otro equipo que se encarga de desplegar la infraestructura de red necesaria para los ataques.

¿Quiénes son las víctimas de TA410?

La selección de objetivos varía para cada subgrupo de TA410. FlowingFrog se enfoca en universidades, minería y misiones diplomáticas extranjeras, mientras que LookingFrog ataca misiones diplomáticas, organizaciones benéficas, gobiernos y empresas manufactureras. JollyFrog se dirige a instituciones educativas, iglesias, militares y misiones diplomáticas (Figura A).

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

Figura A

Además, ESET ha observado ataques dirigidos a personas extranjeras dentro de China en al menos dos ocasiones: una académica francesa y un miembro de una misión diplomática de un país del sur de Asia.

Interesantemente, no existe una clara segmentación entre los tres grupos.

¿Cuál es el esquema de ataque de TA410?

Los tres equipos utilizan un modus operandi similar.

En primer lugar, emplean ataques de spear phishing, aunque también pueden optar por comprometer aplicaciones accesibles a través de Internet, como Microsoft Exchange o SharePoint.

La ventaja de comprometer este tipo de aplicaciones es que les proporciona una base inicial dentro de la infraestructura de una organización sin necesidad de que el usuario interactúe, a diferencia del spear phishing, donde se necesita que un usuario haga clic en un enlace o abra un archivo adjunto. Según los investigadores de ESET, este enfoque es el más utilizado por TA410.

Cómo proteger tu computadora de los virus: métodos y consejos

Los atacantes han aprovechado vulnerabilidades en servidores de Microsoft SharePoint en 2019 para ejecutar código y luego instalar un shell web ASPX, que les permite instalar más componentes maliciosos en el servidor.

También se ha observado la explotación de servidores de Microsoft IIS y SQL que ejecutan aplicaciones personalizadas.

En agosto de 2021, un proceso de trabajo de IIS cargó el malware LookBack, utilizado por LookingFrog, después de que se hubiera activado la vulnerabilidad ProxyShell. Esto demuestra que este grupo de amenazas está atento a las nuevas vulnerabilidades y las utiliza rápidamente para aprovechar servidores no parcheados que pertenecen a sus objetivos.

Otras herramientas utilizadas por TA410

El grupo de amenazas utiliza otras herramientas, como escáneres de vulnerabilidades, exploits filtrados del grupo Equation, herramientas de proxy y túnel (por ejemplo, HTran, LCX, EarthWorm) y scripts para el movimiento lateral, como WMIExec, que les ayudan a moverse dentro de las redes comprometidas.

También utilizan el conocido generador de documentos maliciosos Royal Road. Cuando la víctima abre el documento infectado con Royal Road, se ejecuta un archivo ejecutable llamado "Tendyron Downloader". Este programa descarga un backdoor basado en el malware Farfli y FlowCloud, un malware muy complejo utilizado exclusivamente por TA410.

Cabe destacar que "Tendyron.exe" es un archivo ejecutable legítimo que puede ser vulnerable a la manipulación del orden de búsqueda de DLL.

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

También se utilizan los malwares QuasarRAT y PlugX (también conocido como KorPlug). Estos malwares llevan años en circulación, pero aún siguen siendo utilizados por varios grupos de amenazas. El código de QuasarRAT se ha compartido públicamente en línea, lo que facilita su uso y ajuste para diferentes propósitos.

El exclusivo arsenal de TA410

TA410 utiliza algunos tipos de malware que parecen ser exclusivos de este grupo.

Malware FlowCloud

FlowCloud es un malware complejo compuesto por tres componentes escritos en C++. El primer componente es un controlador con capacidades de rootkit, mientras que los otros dos son un módulo persistente simple y un backdoor personalizado.

FlowCloud sigue siendo un malware en desarrollo y puede ser configurado de manera diferente según el objetivo. Por ejemplo, se ha encontrado una clase personalizada llamada "AntivirusCheck", cuyo propósito es verificar la ejecución de procesos de programas antivirus. Sin embargo, esta clase no se utilizó en las muestras encontradas por ESET.

El código también contiene una serie de trucos para evitar el depurado y la detección, lo que dificulta su análisis.

FlowCloud proporciona acceso total a unidades de almacenamiento, puede recopilar información relacionada con volúmenes y uso de disco, así como recopilar archivos. También puede recopilar la lista de software instalado en el sistema, además de los nombres de procesos y servicios.

Protege tus contraseñas con PAM: Tu aliado para la seguridad

FlowCloud también puede monitorizar archivos, grabar audio utilizando el micrófono de la computadora, controlar cambios en el portapapeles y guardar su contenido, capturar pantallas, y registrar la actividad del mouse y del teclado. También cuenta con una función que permite capturar una imagen utilizando cámaras conectadas, en caso de que existan.

Malware X4 y LookBack

El malware X4 es un backdoor personalizado utilizado para implantar otro malware llamado LookBack.

X4 permite el control básico de un host comprometido: utiliza shellcode cifrado, puede terminar procesos, listar procesos en ejecución o ejecutar comandos.

LookBack es un backdoor escrito en C++ que utiliza comunicación a través de un proxy para transmitir datos entre el host infectado y el servidor C2.

LookBack ofrece funcionalidades para listar servicios, ejecutar procesos, acceder a archivos, ejecutar comandos, capturar pantallas y eliminarse a sí mismo del equipo infectado.

Cómo protegerse de TA410

La primera línea de defensa es mantener todos los software actualizados y con los parches correspondientes, especialmente en el caso de las aplicaciones accesibles a través de Internet, ya que son altamente visadas por los atacantes para obtener una base inicial en la infraestructura de la organización objetivo. TA410 ha demostrado que están monitorizando las nuevas vulnerabilidades y las utilizan rápidamente, por lo que los parches deben instalarse tan pronto como sean publicados.

Cómo configurar un servidor VPN para hacer conexiones a través de firewalls
  • Todos los servidores accesibles a través de Internet también deben ser monitoreados ante cualquier cambio. Los nuevos archivos encontrados en estos servidores deben ser reportados y revisados cuidadosamente.
  • Los correos electrónicos también deben ser tratados con precaución, ya que el spear phishing es otro método utilizado por TA410 para intentar comprometer un sistema y obtener acceso a él.
  • Se recomienda implementar la autenticación de múltiples factores para evitar que un atacante obtenga acceso al sistema con solo un nombre de usuario y contraseña.

Divulgación: Trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a TA410: El actor amenaza cibernética de tres cabezas , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.