Le TAG-110 aligné avec la Russie cible l'Asie et l'Europe avec HATVIBE et CHERRYSPY
Summary
Insikt Group a identifié une campagne de cyberespionnage en cours menée par TAG-110, un groupe de menace aligné sur la Russie ciblant des organisations en Asie centrale, en Asie de l'Est et en Europe. En utilisant les outils de malware personnalisés HATVIBE et CHERRYSPY, TAG-110 cible principalement les entités gouvernementales, les groupes de défense des droits de l'homme et les institutions éducatives. Les tactiques de la campagne s'alignent avec les activités historiques de UAC-0063, attribuées au groupe APT russe BlueDelta (APT28). HATVIBE sert de chargeur pour déployer CHERRYSPY, une porte dérobée en Python utilisée pour l'exfiltration de données et l'espionnage. L’accès initial est souvent obtenu par le biais d’e-mails de phishing ou de l’exploitation de services Web vulnérables tels que Rejetto HTTP File Server.
Les efforts du TAG-110 s'inscrivent probablement dans le cadre d'une stratégie russe plus large visant à recueillir des renseignements sur les développements géopolitiques et à maintenir son influence dans les États post-soviétiques. Insikt Group fournit des informations exploitables, notamment des indicateurs de compromission et des règles Snort et YARA, pour aider les organisations.
Le TAG-110 aligné avec la Russie cible l'Asie et l'Europe avec HATVIBE et CHERRYSPY
Les groupes de menaces persistantes avancées (APT) associés aux États-nations continuent d'exécuter des campagnes sophistiquées pour atteindre des objectifs stratégiques. Insikt Group a récemment identifié une campagne de cyberespionnage alignée sur la Russie, menée par TAG-110, ciblant des organisations en Asie centrale, en Asie de l'Est et en Europe. Ce groupe déploie des malwares personnalisés, notamment HATVIBE et CHERRYSPY, pour mener des opérations conformes aux intérêts géopolitiques de la Russie.
Key Findings
- Aperçu du TAG-110 : groupe de menaces qui chevauche l'UAC-0063, le TAG-110 est lié au groupe APT russe BlueDelta (APT28) avec une confiance modérée.
- Cibles : gouvernements, organisations de défense des droits de l'homme et institutions éducatives en Asie centrale et dans les régions voisines.
- Malware utilisé : HATVIBE, un chargeur d'applications HTML personnalisé, et CHERRYSPY, une porte dérobée basée sur Python, sont au cœur de la campagne.
- Ampleur de l'impact : depuis juillet 2024, 62 victimes ont été identifiées dans onze pays, avec des incidents notables au Kazakhstan, au Kirghizistan et en Ouzbékistan.
HATVIBE
HATVIBE agit comme un chargeur pour déployer des malwares supplémentaires tels que CHERRYSPY. Distribué via des pièces jointes malveillantes ou des vulnérabilités exploitées sur le Web, il assure sa persistance grâce à des tâches planifiées exécutées par l'utilitaire mshta.exe.
Les techniques de dissimulation de HATVIBE comprennent le codage VBScript et le chiffrement XOR. Une fois déployé, il communique avec les serveurs de commande et de contrôle (C2) en utilisant des requêtes HTTP PUT, fournissant des détails critiques sur le système.
CHERRYSPY
CHERRYSPY, une porte dérobée basée sur Python, complète HATVIBE en permettant une exfiltration sécurisée des données. Elle utilise des méthodes de chiffrement robustes, notamment RSA et Advanced Encryption Standard (AES), pour établir la communication avec ses serveurs C2. TAG-110 utilise CHERRYSPY pour surveiller les systèmes des victimes et extraire des informations sensibles, ciblant souvent les entités gouvernementales et de recherche.
Objectifs de la campagne
Les activités de TAG-110 s'alignent sur les objectifs géopolitiques de la Russie, notamment en Asie centrale, où Moscou cherche à maintenir son influence malgré des relations tendues. Les renseignements recueillis à travers ces campagnes contribuent probablement à renforcer les efforts militaires de la Russie et à comprendre les dynamiques régionales.
Mitigation Strategies
Pour se défendre contre le TAG-110 et les menaces similaires, les organisations devraient :
- Surveiller les indicateurs de compromission (IoC) : utilisez des systèmes de détection des intrusions (iDS), des systèmes de prévention des intrusions (IPS) et des outils de défense réseau pour détecter les domaines malveillants et les adresses IP associés au TAG-110.
- Déployer des règles de détection : exploitez les règles Snort, Suricata et YARA pour identifier les activités liées à HATVIBE et CHERRYSPY.
- Corriger les vulnérabilités : assurez-vous que les logiciels sont mis à jour en temps opportun pour éviter l'exploitation de vulnérabilités connues telles que CVE-2024-23692.
- Améliorer la sensibilisation aux menaces : formez les employés à reconnaître les tentatives de phishing et appliquez l'authentification multifactorielle.
- Tirer parti des outils de renseignement : utilisez les solutions de Recorded Future pour la protection contre les risques numériques, la surveillance des identifiants et le threat intelligence en temps réel.
Outlook
Le TAG-110 devrait continuer ses campagnes de cyberespionnage, en se concentrant sur les États d'Asie centrale post-soviétiques, l'Ukraine et les alliés de l'Ukraine. Ces régions sont cruciales pour Moscou en raison des relations tendues qui ont suivi l'invasion de l'Ukraine par la Russie. Bien que les liens entre TAG-110 et BlueDelta ne soient pas confirmés, ses activités s'alignent sur les intérêts stratégiques de BlueDelta en matière de sécurité nationale, d'opérations militaires et d'influence géopolitique.
To read the entire analysis, click here to download the report as a PDF.
Appendix A — Indicators of Compromise
|
Domaines C2 : enrollmentdm[.]com errorreporting[.]net experience-improvement[.]com game-wins[.]com internalsecurity[.]us lanmangraphics[.]com retaildemo[.]info shared-rss[.]info telemetry-network[.]com tieringservice[.]com trust-certificate[.]net Adresses IP C2 : 5.45.70[.]178 45.136.198[.]18 45.136.198[.]184 45.136.198[.]189 46.183.219[.]228 84.32.188[.]23 185.62.56[.]47 185.158.248[.]198 185.167.63[.]42 194.31.55[.]131 212.224.86[.]69 |
Appendix B — Mitre ATT&CK Techniques
| Tactic: Technique | ATT&CK Code |
| Resource Development: Acquire Infrastructure: Virtual Private Server | T1583.003 |
| Initial Access: Exploit Public-Facing Application | T1190 |
| Accès initial : pièce jointe de spearphishing | T1566.001 |
| Exécution : Visual Basic | T1059.005 |
| Exécution : fichier malveillant | T1204.002 |
| Persistance : tâche planifiée | T1053.005 |
| Contournement de la défense : fichier chiffré/codé | T1027.013 |
| Contournement de la défense : Exécution par proxy binaire du système : Mshta | T1218.005 |
| Commandes et contrôles : Protocoles Web | T1071.001 |
| Commandement et contrôle : cryptographie symétrique | T1573.001 |
| Commandement et contrôle : cryptographie asymétrique | T1573.002 |
Related