Mit Russland verbündeter Scharfschütze TAG-70 nimmt in neuer Spionagekampagne Mailserver europäischer Regierungen und des Militärs ins Visier

Die Insikt Group von Recorded Future hat TAG-70 identifiziert, einen Bedrohungsakteur, der wahrscheinlich seit mindestens Dezember 2020 im Auftrag von Belarus und Russland Cyberspionage gegen staatliche, militärische und nationale Infrastrukturbehörden in Europa und Zentralasien betreibt. TAG-70 überschneidet sich mit Aktivitäten, die von anderen Sicherheitsanbietern unter den Aliasnamen Winter Vivern, TA473 und UAC-0114 gemeldet wurden.

In seiner jüngsten Kampagne, die zwischen Oktober und Dezember 2023 lief, nutzte TAG-70 XSS-Schwachstellen (Cross-Site-Scripting) in Roundcube-Webmail-Servern aus und zielte auf über 80 Organisationen ab, hauptsächlich in Georgien, Polen und der Ukraine. Diese Kampagne wurde mit weiteren TAG-70-Aktivitäten gegen Mailserver der usbekischen Regierung in Verbindung gebracht, die eine von der Insikt Group im Februar 2023 gemeldete Infrastruktur betrafen.

TAG-70’s targeting of Roundcube webmail servers is only the most recent instance of targeting email software attributed to Russia-aligned threat actor groups. In June 2023, Insikt Group discovered that the Russian state-sponsored cyber-espionage group BlueDelta (APT28, Fancy Bear) was targeting vulnerable Roundcube installations across Ukraine and had previously exploited CVE-2023-23397, a critical zero-day vulnerability in Microsoft Outlook in 2022. Other well-known Russian threat actor groups, such as Sandworm and BlueBravo (APT29, Midnight Blizzard), have also previously targeted email solutions in various campaigns.

Geografische Verteilung der Opfer des Roundcube-Exploits TAG-70 im Oktober 2023 (Quelle: Recorded Future)

In this campaign, beginning on March 16, 2023, Insikt Group used Recorded Future Network Intelligence to detect suspicious activity from a victim IP address belonging to the Center for Economic Research and Reforms of Uzbekistan. The victim IP address was observed communicating with the domain bugiplaysec[.]com over TCP port 443, which at the time resolved to IP address 176.97.66[.]57. This data was then likely relayed to command and control (C2) IP address 198.50.170[.]72 on TCP port 7662. It is suspected that TAG-70 administered 198.50.170[.]72 via Tor. CERT-UA attributed the domain bugiplaysec[.]com to TAG-70 in February 2023.

Insikt Group observed similar activity between an IP address registered to the Embassy of the Republic of Uzbekistan in Ukraine and a previously reported C2 domain, ocsp-reloads[.]com, which resolved to IP address 38.180.2[.]23. This additional C2 likely forwarded the data it received to IP address 86.105.18[.]113 on TCP port 1194 and TAG-70 likely connected to the C2 via Tor, also below.

Betriebsinfrastruktur von TAG-70 im März 2023 (Quelle: Recorded Future)

On July 27, 2023, a new TAG-70 domain, hitsbitsx[.]com, resolved to IP address 176.97.66[.]57. Insikt Group also detected this domain in a JavaScript-based malware sample uploaded to a malware repository (SHA256: ea22b3e9ecdfd06fae74483deb9ef0245aefdc72f99120ae6525c0eaf37de32e). The discovered JavaScript malware matches the second-stage loader used in TAG-70’s previous Roundcube exploitation described by ESET. This JavaScript is loaded via XSS from a malicious email and is used to decode a Base64-encoded JavaScript payload (jsBodyBase64). The payload is then inserted into the Document Object Model (DOM) of the Roundcube webpage within a newly created script tag.

Der Inhalt der JavaScript-Nutzlast JSBodyBase64, wie in Abbildung 3 dargestellt, deutet darauf hin, dass die Akteure es auf die Domain mail[.]mod[.]gov[.]ge des georgischen Verteidigungsministeriums abgesehen hatten. Die Struktur dieser Nutzlast überschneidet sich mit der im ESET-Bericht beschriebenen; ihre Funktionalität unterscheidet sich jedoch: Anstatt den Inhalt des Postfachs des Opfers zu exfiltrieren, meldet sie den Benutzer aus Roundcube ab und präsentiert ihm ein neues Anmeldefenster. Wenn das Opfer seine Anmeldedaten eingab, wurden sein Kontoname, sein Benutzername und sein Passwort an den C2-Server gesendet, und es wurde dann bei Roundcube angemeldet.

Insikt Group also identified a related JavaScript sample from November 2022 (SHA256: 6800357ec3092c56aab17720897c29bb389f70cb49223b289ea5365314199a26). This older sample was hosted on the domain bugiplaysec[.]com, used the same JavaScript loader technique, and had a similar credential exfiltration payload. The content within the payload suggests that it was used to target the Ukrainian Ministry of Defence.

Die kompromittierten E-Mail-Server stellen insbesondere vor dem Hintergrund des anhaltenden Konflikts in der Ukraine ein erhebliches Risiko dar. Sie könnten sensible Informationen über die Kriegsanstrengungen der Ukraine, ihre diplomatischen Beziehungen und ihre Koalitionspartner preisgeben. Darüber hinaus deuten die Angriffe auf die iranischen Botschaften in Russland und den Niederlanden darauf hin, dass ein breiteres geopolitisches Interesse an der Beurteilung der diplomatischen Aktivitäten des Iran besteht, insbesondere im Hinblick auf seine Unterstützung für Russland in der Ukraine. Ebenso spiegelt die Spionage gegen georgische Regierungsstellen das Interesse wider, Georgiens Bestrebungen nach einem Beitritt zur Europäischen Union (EU) und der NATO zu überwachen.

Minderungsstrategien

Um das Risiko der TAG-70-Kampagne zu minimieren, sollten Unternehmen sicherstellen, dass ihre Roundcube-Installationen gepatcht und auf dem neuesten Stand sind, und aktiv nach Kompromittierungsindikatoren (IoCs) in ihren Umgebungen suchen. Die Raffinesse der Angriffsmethoden von TAG-70 und die Ausrichtung auf staatliche und militärische Einrichtungen unterstreichen die Notwendigkeit robuster Cybersicherheitsmaßnahmen und proaktiver Maßnahmen zur Bedrohungsaufklärung. Die weite Verbreitung der TAG-70-Aktivitäten und ihre potenziellen Auswirkungen auf die nationale Sicherheit unterstreichen die Dringlichkeit der Wachsamkeit und Bereitschaft der betroffenen Organisationen und Regierungsbehörden.

Hinweis: Diese Zusammenfassung des Berichts wurde erstmals am 16. Februar 2024 veröffentlicht und am 29. Oktober 2024 aktualisiert. Die ursprüngliche Analyse und die Ergebnisse bleiben unverändert.

Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.

Anhang A – Indikatoren für eine Gefährdung

Domänen: bugiplaysec[.]com hitsbitsx[.]com ocsp-reloads[.]com recsecas[.]com IP Addresses: 38.180.2[.]23 38.180.3[.]57 38.180.76[.]31 86.105.18[.]113 176.97.66[.]57 176.97.76[.]118 176.97.76[.]129 198.50.170[.]72 Malware Samples (SHA256): 6800357ec3092c56aab17720897c29bb389f70cb49223b289ea5365314199a26 ea22b3e9ecdfd06fae74483deb9ef0245aefdc72f99120ae6525c0eaf37de32e

Anhang B – MITRE ATT&CK-Techniken

Taktik: Technik	ATT&CK-Code
Initial Access: Phishing	T1583.001
Execution: Exploitation for Client Execution	T1583.003
Persistence: Valid Accounts	T1583.004
Credential Access: Exploitation for Credential Access	T1566.002
Credential Access: Input Capture	T1203
Discovery: File and Directory Discovery	T1203
Collection: Email Collection	T1203
Command and Control: Non-Standard Port	T1203