Mit Russland verbündeter Scharfschütze TAG-70 nimmt in neuer Spionagekampagne Mailserver europäischer Regierungen und des Militärs ins Visier
Die Insikt Group von Recorded Future hat TAG-70 identifiziert, einen Bedrohungsakteur, der wahrscheinlich im Auftrag von Belarus und Russland tätig ist und seit mindestens Dezember 2020 Cyberspionage gegen staatliche, militärische und nationale Infrastruktureinrichtungen in Europa und Zentralasien betreibt. In seiner jüngsten Kampagne, die zwischen Oktober und Dezember 2023 lief, nutzte TAG-70 Cross-Site-Scripting-Schwachstellen (XSS) in Roundcube-Webmail-Servern aus, um über 80 Organisationen vor allem in Georgien, Polen und der Ukraine ins Visier zu nehmen. Diese Aktivität erinnert an andere mit Russland verbündete Bedrohungsgruppen wie BlueDelta (APT28) und Sandworm, die in früheren Kampagnen E-Mail-Lösungen, einschließlich Roundcube, ins Visier genommen haben.
Geografische Verteilung der Opfer des Roundcube-Exploits TAG-70 im Oktober 2023 (Quelle: Recorded Future)
Die kompromittierten E-Mail-Server stellen insbesondere vor dem Hintergrund des anhaltenden Konflikts in der Ukraine ein erhebliches Risiko dar. Sie könnten sensible Informationen über die Kriegsanstrengungen der Ukraine, ihre diplomatischen Beziehungen und ihre Koalitionspartner preisgeben. Darüber hinaus deuten die Angriffe auf die iranischen Botschaften in Russland und den Niederlanden darauf hin, dass ein breiteres geopolitisches Interesse an der Beurteilung der diplomatischen Aktivitäten des Iran besteht, insbesondere im Hinblick auf seine Unterstützung für Russland in der Ukraine. Ebenso spiegelt die Spionage gegen georgische Regierungsstellen das Interesse wider, Georgiens Bestrebungen nach einem Beitritt zur Europäischen Union (EU) und der NATO zu überwachen.
Um das von der TAG-70-Kampagne ausgehende Risiko zu verringern, sollten Unternehmen sicherstellen, dass ihre Roundcube-Installationen gepatcht und auf dem neuesten Stand sind, und gleichzeitig aktiv nach Indikatoren für eine Kompromittierung (IoCs) in ihren Umgebungen suchen. Die Raffinesse der Angriffsmethoden von TAG-70 und die Tatsache, dass er auf Regierungs- und Militäreinrichtungen abzielt, unterstreichen die Notwendigkeit robuster Cybersicherheitsmaßnahmen und proaktiver Bemühungen zur Bedrohungsaufklärung. Angesichts der umfassenden Aktivitäten von TAG-70 und ihrer möglichen Auswirkungen auf die nationale Sicherheit ist bei betroffenen Organisationen und Regierungsbehörden höchste Wachsamkeit und Vorbereitung geboten.
Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.
Anhang A – Indikatoren für eine Gefährdung
| Domänen: bugiplaysec[.]com hitsbitsx[.]com ocsp-reloads[.]com recsecas[.]com IP-Adressen: 38.180.2[.]23 38.180.3[.]57 38.180.76[.]31 86.105.18[.]113 176.97.66[.]57 176.97.76[.]118 176.97.76[.]129 198.50.170[.]72 Malware-Beispiele (SHA256): 6800357ec3092c56aab17720897c29bb389f70cb49223b289ea5365314199a26 ea22b3e9ecdfd06fae74483deb9ef0245aefdc72f99120ae6525c0eaf37de32e |
Anhang B – MITRE ATT&CK-Techniken
| Taktik: Technik | ATT&CK-Code |
| Erster Zugriff: Phishing | T1583.001 |
| Ausführung: Ausnutzung zur Client-Ausführung | T1583.003 |
| Persistenz: Gültige Konten | T1583.004 |
| Zugang zu Anmeldeinformationen: Ausnutzung für den Zugang zu Anmeldeinformationen | T1566.002 |
| Zugang zu Anmeldeinformationen: Eingabeerfassung | T1203 |
| Erkennung: Datei- und Verzeichniserkennung | T1203 |
| Sammlung: E-Mail-Sammlung | T1203 |
| Befehl und Kontrolle: Nicht-Standard-Port | T1203 |
Verwandt