Die mit Russland verbündete Gruppe TAG-110 nimmt Asien und Europa mit HATVIBE und CHERRYSPY ins Visier
Zusammenfassung
Die Insikt Group hat eine laufende Cyber-Spionagekampagne identifiziert, die von TAG-110, einer mit Russland verbundenen Bedrohungsgruppe, durchgeführt wird und sich gegen Organisationen in Zentralasien, Ostasien und Europa richtet. Unter Verwendung der maßgeschneiderten Malware-Tools HATVIBE und CHERRYSPY greift TAG-110 hauptsächlich Regierungsstellen, Menschenrechtsgruppen und Bildungseinrichtungen an. Die Taktiken der Kampagne stimmen mit den historischen Aktivitäten von UAC-0063 überein, die der russischen APT-Gruppe BlueDelta (APT28) zugeschrieben werden. HATVIBE fungiert als Loader zur Bereitstellung von CHERRYSPY, einer Python-Hintertür, die zur Datenexfiltration und Spionage verwendet wird. Der anfängliche Zugriff wird oft durch Phishing-E-Mails oder durch das Ausnutzen von anfälligen, webseitigen Diensten wie dem Rejetto HTTP File Server erreicht.
Die Bemühungen von TAG-110 sind wahrscheinlich Teil einer umfassenderen russischen Strategie, um Informationen über geopolitische Entwicklungen zu sammeln und den Einfluss in den postsowjetischen Staaten zu bewahren. Die Insikt Group bietet Organisationen verwertbare Einblicke, einschließlich Indikatoren für Kompromittierungen sowie Snort- und YARA-Regeln, um sie zu unterstützen.
Die mit Russland verbündete Gruppe TAG-110 nimmt Asien und Europa mit HATVIBE und CHERRYSPY ins Visier
APT-Gruppen, die mit Nationalstaaten verbunden sind, setzen weiterhin ausgeklügelte Kampagnen um, um strategische Ziele zu erreichen. Die Insikt Group hat kürzlich eine mit Russland verbundene Cyberspionagekampagne identifiziert, die von TAG-110 gegen Organisationen in Zentralasien, Ostasien und Europa durchgeführt wurde. Diese Gruppe setzt maßgeschneiderte Malware ein, darunter HATVIBE und CHERRYSPY, um Operationen durchzuführen, die mit den geopolitischen Interessen Russlands übereinstimmen.
Wichtige Erkenntnisse
- TAG-110 Überblick: Eine Bedrohungsgruppe, die sich mit UAC-0063 überschneidet. TAG-110 ist mit mäßiger Sicherheit mit der russischen APT-Gruppe BlueDelta (APT28) verbunden.
- Ziele: Regierungen, Menschenrechtsgruppen und Bildungseinrichtungen in Zentralasien und den angrenzenden Regionen.
- Verwendete Malware: HATVIBE, ein benutzerdefinierter HTML-Anwendungslader, und CHERRYSPY, eine Python-basierte Backdoor, stehen im Mittelpunkt der Kampagne.
- Ausmaß der Auswirkungen: Seit Juli 2024 wurden 62 Opfer in elf Ländern identifiziert, wobei bemerkenswerte Vorfälle in Kasachstan, Kirgisistan und Usbekistan auftraten.
HATVIBE
HATVIBE dient als Loader zur Bereitstellung zusätzlicher Malware wie CHERRYSPY. Es wird über bösartige E-Mail-Anhänge oder ausgenutzte webseitige Schwachstellen verbreitet und erreicht Persistenz durch geplante Aufgaben, die von der mshta.exe-Dienstprogramm ausgeführt werden.
Die Verschleierungstechniken von HATVIBE umfassen VBScript-Kodierung und XOR-Verschlüsselung. Sobald es eingesetzt ist, kommuniziert es mit Command-and-Control-Servern (C2) über HTTP PUT-Anfragen und liefert kritische Systemdetails.
CHERRYSPY
CHERRYSPY, eine Python-basierte Backdoor, ergänzt HATVIBE, indem sie eine sichere Datenexfiltration ermöglicht. Es verwendet robuste Verschlüsselungsmethoden, einschließlich RSA und Advanced Encryption Standard (AES), um die Kommunikation mit seinen C2-Servern aufzubauen. TAG-110 verwendet CHERRYSPY, um die Systeme der Opfer zu überwachen und sensible Informationen zu extrahieren, wobei es häufig auf Regierungs- und Forschungseinrichtungen abzielt.
Kampagnenziele
Die Aktivitäten der TAG-110 stehen im Einklang mit den geopolitischen Zielen Russlands, insbesondere in Zentralasien, wo Moskau versucht, seinen Einfluss trotz angespannter Beziehungen aufrechtzuerhalten. Die durch diese Kampagnen gesammelten Erkenntnisse dürften dazu beitragen, Russlands militärische Bemühungen zu stärken und die regionalen Dynamiken zu verstehen.
Minderungsstrategien
Um sich gegen TAG-110 und ähnliche Bedrohungen zu verteidigen, sollten Organisationen:
- Überwachen Sie auf Indikatoren für eine Kompromittierung (IoCs): Nutzen Sie Intrusion Detection Systeme (IDS), Intrusion Prevention Systeme (IPS) und Netzwerkverteidigungstools, um bösartige Domänen und IPs in Verbindung mit TAG-110 zu identifizieren.
- Setzen Sie Erkennungsregeln ein: Nutzen Sie Snort-, Suricata- und YARA-Regeln zur Identifizierung von Aktivitäten im Zusammenhang mit HATVIBE und CHERRYSPY.
- Patch-Schwachstellen: Stellen Sie sicher, dass die Software rechtzeitig aktualisiert wird, um die Ausnutzung bekannter Schwachstellen wie CVE-2024-23692 zu verhindern.
- Verbessern Sie das Bedrohungsbewusstsein: Schulen Sie Ihre Mitarbeitenden, Phishing-Versuche zu erkennen, und setzen Sie eine Multi-Faktor-Authentifizierung durch.
- Intelligenz-Tools nutzen: Verwenden Sie die Lösungen von Recorded Future für den Schutz vor digitalen Risiken, die Überwachung von Anmeldeinformationen und Echtzeit-Bedrohungsinformationen.
Ausblick
Es wird erwartet, dass TAG-110 seine Cyber-Spionagekampagnen fortsetzt und sich auf postsowjetische zentralasiatische Staaten, die Ukraine und die Verbündeten der Ukraine konzentriert. Diese Regionen sind für Moskau aufgrund der angespannten Beziehungen nach dem russischen Einmarsch in die Ukraine von großer Bedeutung. Obwohl die Verbindungen von TAG-110 zu BlueDelta unbestätigt sind, entsprechen seine Aktivitäten den strategischen Interessen von BlueDelta in Bezug auf nationale Sicherheit, militärische Operationen und geopolitischen Einfluss.
Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.
Anhang A – Indikatoren für eine Gefährdung
|
C2-Domänen: enrollmentdm[.]com errorreporting[.]net experience-improvement[.]com game-wins[.]com internalsecurity[.]us lanmangraphics[.]com retaildemo[.]info shared-rss[.]info telemetry-network[.]com tieringservice[.]com trust-certificate[.]net C2-IP-Adressen: 5.45.70[.]178 45.136.198[.]18 45.136.198[.]184 45.136.198[.]189 46.183.219[.]228 84.32.188[.]23 185.62.56[.]47 185.158.248[.]198 185.167.63[.]42 194.31.55[.]131 212.224.86[.]69 |
Anhang B – Mitre ATT&CK-Techniken
| Taktik: Technik | ATT&CK-Code |
| Ressourcenentwicklung: Infrastruktur erwerben: Virtueller privater Server | T1583.003 |
| Erster Zugriff: Öffentliche Anwendung ausnutzen | T1190 |
| Erster Zugriff: Spearphishing-Anhang | T1566.001 |
| Ausführung: Visual Basic | T1059.005 |
| Ausführung: Bösartige Datei | T1204.002 |
| Persistenz: Geplante Aufgabe | T1053.005 |
| Umgehung der Verteidigung: Verschlüsselte/kodierte Datei | T1027.013 |
| Umgehung der Verteidigung: Ausführung eines System-Binär-Proxys: Mshta | T1218.005 |
| Befehls- und Kontrollsystem: Webprotokolle | T1071.001 |
| Befehls- und Kontrollsystem: Symmetrische Kryptografie | T1573.001 |
| Befehls- und Kontrollsystem: Asymmetrische Kryptografie | T1573.002 |
Verwandt