Mit Russland verbündeter Scharfschütze TAG-70 nimmt in neuer Spionagekampagne Mailserver europäischer Regierungen und des Militärs ins Visier
Die Insikt Group von Recorded Future hat TAG-70 identifiziert, einen Bedrohungsakteur, der wahrscheinlich seit mindestens Dezember 2020 im Auftrag von Belarus und Russland Cyberspionage gegen staatliche, militärische und nationale Infrastrukturbehörden in Europa und Zentralasien betreibt. TAG-70 überschneidet sich mit Aktivitäten, die von anderen Sicherheitsanbietern unter den Aliasnamen Winter Vivern, TA473 und UAC-0114 gemeldet wurden.
In seiner jüngsten Kampagne, die zwischen Oktober und Dezember 2023 lief, nutzte TAG-70 XSS-Schwachstellen (Cross-Site-Scripting) in Roundcube-Webmail-Servern aus und zielte auf über 80 Organisationen ab, hauptsächlich in Georgien, Polen und der Ukraine. Diese Kampagne wurde mit weiteren TAG-70-Aktivitäten gegen Mailserver der usbekischen Regierung in Verbindung gebracht, die eine von der Insikt Group im Februar 2023 gemeldete Infrastruktur betrafen.
Der Angriff von TAG-70 auf Roundcube-Webmail-Server ist nur der jüngste Fall eines Angriffs auf E-Mail-Software, der Russland zugerechneten Bedrohungsgruppen zugeschrieben wird. Im Juni 2023 entdeckte die Insikt Group, dass die vom russischen Staat gesponserte Cyber-Spionagegruppe BlueDelta (APT28, Fancy Bear) anfällige Roundcube-Installationen in der gesamten Ukraine ins Visier nahm und bereits 2022 CVE-2023-23397 ausgenutzt hatte, eine kritische Zero-Day-Schwachstelle in Microsoft Outlook. Andere bekannte russische Gruppen von Bedrohungsakteuren, wie Sandworm und BlueBravo (APT29, Midnight Blizzard), haben bereits zuvor E-Mail-Lösungen in verschiedenen Kampagnen ins Visier genommen.
Geografische Verteilung der Opfer des Roundcube-Exploits TAG-70 im Oktober 2023 (Quelle: Recorded Future)
In dieser Kampagne, die am 16. März 2023 begann, nutzte Insikt Group Recorded Future Network Intelligence, um verdächtige Aktivitäten von einer Opfer-IP-Adresse zu erkennen, die dem Center for Economic Research and Reforms of Uzbekistan gehört. Die IP-Adresse des Opfers wurde bei der Kommunikation mit der Domain bugiplaysec[.]com über den TCP-Port 443 beobachtet, der zu diesem Zeitpunkt auf die IP-Adresse 176.97.66[.]57. aufgelöst wurde. Diese Daten wurden dann wahrscheinlich an die Befehls- und Kontroll-IP-Adresse (C2) 198.50.170[.]72 über TCP-Port 7662 weitergeleitet. Es wird vermutet, dass TAG-70 die Adresse 198.50.170[.]72 über Tor verwaltet hat. CERT-UA hat die Domain bugiplaysec[.]com im Februar 2023 zu TAG-70 zugeordnet.
Die Insikt Group beobachtete ähnliche Aktivitäten zwischen einer IP-Adresse, die bei der Botschaft der Republik Usbekistan in der Ukraine registriert war, und einer zuvor gemeldeten C2-Domain, ocsp-reloads[.]com, die in die IP-Adresse 38.180.2[.]23.aufgelöst wurde. Diese zusätzlich C2 hat die empfangenen Daten wahrscheinlich an die IP-Adresse 86.105.18[.]113 auf TCP-Port 1194 weitergeleitet und TAG-70 war wahrscheinlich über Tor mit C2 verbunden, ebenfalls unten.
Betriebsinfrastruktur von TAG-70 im März 2023 (Quelle: Recorded Future)
Am 27. Juli 2023 wurde eine neue TAG-70-Domain, hitsbitsx[.]com auf die IP-Adresse 176.97.66[.]57. aufgelöst. Die Insikt Group entdeckte diese Domain auch in einem JavaScript-basierten Malware-Sample, das in ein Malware-Repository hochgeladen wurde (SHA256: ea22b3e9ecdfd06fae74483deb9ef0245aefdc72f99120ae6525c0eaf37de32e). Die entdeckte JavaScript-Malware entspricht dem Second-Stage-Loader, der im vorherigen, von ESET beschriebenen Roundcube-Exploit von TAG-70 verwendet wurde. Dieses JavaScript wird über XSS aus einer bösartigen E-Mail geladen und zum Dekodieren einer Base64-kodierten JavaScript-Nutzlast (jsBodyBase64) verwendet. Die Nutzlast wird dann innerhalb eines neu erstellten Skript-Tags in das Document Object Model (DOM) der Roundcube-Webseite eingefügt.
Der Inhalt der JavaScript-Nutzlast JSBodyBase64, wie in Abbildung 3 dargestellt, deutet darauf hin, dass die Akteure es auf die Domain mail[.]mod[.]gov[.]ge des georgischen Verteidigungsministeriums abgesehen hatten. Die Struktur dieser Nutzlast überschneidet sich mit der im ESET-Bericht beschriebenen; ihre Funktionalität unterscheidet sich jedoch: Anstatt den Inhalt des Postfachs des Opfers zu exfiltrieren, meldet sie den Benutzer aus Roundcube ab und präsentiert ihm ein neues Anmeldefenster. Wenn das Opfer seine Anmeldedaten eingab, wurden sein Kontoname, sein Benutzername und sein Passwort an den C2-Server gesendet, und es wurde dann bei Roundcube angemeldet.
Insikt Group hat auch ein verwandtes JavaScript-Sample vom November 2022 identifiziert (SHA256: 6800357ec3092c56aab17720897c29bb389f70cb49223b289ea5365314199a26). Dieses ältere Beispiel wurde auf der Domain bugiplaysec[.]com gehostet, verwendete die gleiche JavaScript-Loader-Technik und verfügte über eine ähnliche Payload zur Exfiltration von Anmeldeinformationen. Der Inhalt der Nutzlast deutet darauf hin, dass sie verwendet wurde, um das ukrainische Verteidigungsministerium ins Visier zu nehmen.
Die kompromittierten E-Mail-Server stellen insbesondere vor dem Hintergrund des anhaltenden Konflikts in der Ukraine ein erhebliches Risiko dar. Sie könnten sensible Informationen über die Kriegsanstrengungen der Ukraine, ihre diplomatischen Beziehungen und ihre Koalitionspartner preisgeben. Darüber hinaus deuten die Angriffe auf die iranischen Botschaften in Russland und den Niederlanden darauf hin, dass ein breiteres geopolitisches Interesse an der Beurteilung der diplomatischen Aktivitäten des Iran besteht, insbesondere im Hinblick auf seine Unterstützung für Russland in der Ukraine. Ebenso spiegelt die Spionage gegen georgische Regierungsstellen das Interesse wider, Georgiens Bestrebungen nach einem Beitritt zur Europäischen Union (EU) und der NATO zu überwachen.
Minderungsstrategien
Um das Risiko der TAG-70-Kampagne zu minimieren, sollten Unternehmen sicherstellen, dass ihre Roundcube-Installationen gepatcht und auf dem neuesten Stand sind, und aktiv nach Kompromittierungsindikatoren (IoCs) in ihren Umgebungen suchen. Die Raffinesse der Angriffsmethoden von TAG-70 und die Ausrichtung auf staatliche und militärische Einrichtungen unterstreichen die Notwendigkeit robuster Cybersicherheitsmaßnahmen und proaktiver Maßnahmen zur Bedrohungsaufklärung. Die weite Verbreitung der TAG-70-Aktivitäten und ihre potenziellen Auswirkungen auf die nationale Sicherheit unterstreichen die Dringlichkeit der Wachsamkeit und Bereitschaft der betroffenen Organisationen und Regierungsbehörden.
Hinweis: Diese Zusammenfassung des Berichts wurde erstmals am 16. Februar 2024 veröffentlicht und am 29. Oktober 2024 aktualisiert. Die ursprüngliche Analyse und die Ergebnisse bleiben unverändert.
Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.
Anhang A – Indikatoren für eine Gefährdung
| Domänen: bugiplaysec[.]com hitsbitsx[.]com ocsp-reloads[.]com recsecas[.]com IP-Adressen: 38.180.2[.]23 38.180.3[.]57 38.180.76[.]31 86.105.18[.]113 176.97.66[.]57 176.97.76[.]118 176.97.76[.]129 198.50.170[.]72 Malware-Beispiele (SHA256): 6800357ec3092c56aab17720897c29bb389f70cb49223b289ea5365314199a26 ea22b3e9ecdfd06fae74483deb9ef0245aefdc72f99120ae6525c0eaf37de32e |
Anhang B – MITRE ATT&CK-Techniken
| Taktik: Technik | ATT&CK-Code |
| Erster Zugriff: Phishing | T1583.001 |
| Ausführung: Ausnutzung zur Client-Ausführung | T1583.003 |
| Persistenz: Gültige Konten | T1583.004 |
| Zugang zu Anmeldeinformationen: Ausnutzung für den Zugang zu Anmeldeinformationen | T1566.002 |
| Zugang zu Anmeldeinformationen: Eingabeerfassung | T1203 |
| Erkennung: Datei- und Verzeichniserkennung | T1203 |
| Sammlung: E-Mail-Sammlung | T1203 |
| Befehl und Kontrolle: Nicht-Standard-Port | T1203 |
Verwandt