Russia-Aligned TAG-70 Targets European Government and Military Mail Servers in New Espionage Campaign
Le groupe Insikt de Recorded Future a identifié TAG-70, un acteur de la menace opérant probablement pour le compte de la Biélorussie et de la Russie, qui mène des activités de cyberespionnage contre des entités gouvernementales, militaires et d'infrastructures nationales en Europe et en Asie centrale depuis au moins décembre 2020. TAG-70 coïncide avec des activités signalées par d'autres fournisseurs de sécurité sous les pseudonymes Winter Vivern, TA473 et UAC-0114.
Lors de sa dernière campagne, qui s'est déroulée entre octobre et décembre 2023, TAG-70 a exploité des vulnérabilités de type cross-site scripting (XSS) dans les serveurs de messagerie web Roundcube pour cibler plus de 80 organisations, principalement en Géorgie, en Pologne et en Ukraine. Cette campagne a été liée à d'autres activités TAG-70 contre les serveurs de messagerie du gouvernement de l'Ouzbékistan, qui ont impliqué une infrastructure signalée par Insikt Group en février 2023.
Le ciblage des serveurs de messagerie web Roundcube par le TAG-70 n'est que le dernier exemple de ciblage de logiciels de messagerie attribués à des groupes de malwares alignés sur la Russie. En juin 2023, Insikt Group a découvert que le groupe de cyberespionnage BlueDelta (APT28, Fancy Bear), parrainé par l'État russe, ciblait des installations vulnérables de Roundcube en Ukraine et avait déjà exploité CVE-2023-23397, une faille de type zero-day critique dans Microsoft Outlook en 2022. D'autres groupes russes connus d'acteurs de menaces, tels que Sandworm et BlueBravo (APT29, Midnight Blizzard), ont également ciblé les solutions de messagerie dans le cadre de diverses campagnes.
Geographic spread of victims of TAG-70s Roundcube exploit in October 2023 (Source: Recorded Future)
Dans le cadre de cette campagne, qui a débuté le 16 mars 2023, Insikt Group a utilisé Recorded Future Network Intelligence pour détecter les activités suspectes provenant de l'adresse IP d'une victime appartenant au Centre de recherches économiques et de réformes d'Ouzbékistan. L'adresse IP de la victime a été observée en train de communiquer avec le domaine bugiplaysec[.]com. sur le port TCP 443, qui à l'époque correspondait à l'adresse 176.97.66[.]57. Ces données ont ensuite probablement été transmises à l'adresse IP de commande et de contrôle (C2) 198.50.170[.]72 sur le port TCP 7662. On soupçonne TAG-70 d'avoir administré 198.50.170[.]72 via Tor. CERT-UA a attribué le domaine bugiplaysec[.]com à TAG-70 en février 2023.
Insikt Group a observé une activité similaire entre une adresse IP enregistrée auprès de l'ambassade de la république d'Ouzbékistan en Ukraine et un domaine C2 précédemment signalé, ocsp-reloads[.]com, qui se résout à l'adresse IP 38.180.2[.]23. Ce C2 supplémentaire a probablement transmis les données qu'il a reçues à l'adresse IP 86.105.18[.]113 sur le port TCP 1194 et à TAG-70 probablement connecté au C2 via Tor, également ci-dessous.
Infrastructure opérationnelle du TAG-70 en mars 2023 (Source : Recorded Future)
Le 27 juillet 2023, un nouveau domaine TAG-70, hitsbitsx[.]com, résolu à l'adresse IP 176.97.66[.]57. Insikt Group a également détecté ce domaine dans un échantillon de malware basé sur JavaScript chargé dans un dépôt de logiciels malveillants (SHA256 : ea22b3e9ecdfd06fae74483deb9ef0245aefdc72f99120ae6525c0eaf37de32e). Le logiciel malveillant JavaScript découvert correspond au chargeur de deuxième niveau utilisé dans la précédente exploitation Roundcube de TAG-70 décrite par ESET. Ce JavaScript est chargé via un XSS à partir d'un e-mail malveillant et est utilisé pour décoder une charge utile JavaScript encodée en Base64 (jsBodyBase64). La charge utile est ensuite insérée dans le modèle d'objet du document (DOM) de la page web Roundcube dans une balise de script nouvellement créée.
Le contenu de la charge utile JavaScript, jsBodyBase64, illustré à la Figure 3, suggère que les acteurs ciblaient le domaine mail du ministère géorgien de la Défense mail[.]mod[.]gov[.]ge. La structure de cette charge utile est identique à celle décrite dans le rapport d'ESET, mais sa fonctionnalité est différente : au lieu d'exfiltrer le contenu de la messagerie de la victime, elle déconnecte l'utilisateur de Roundcube et lui présente une nouvelle fenêtre de connexion. Lorsque la victime soumet ses informations d'identification, son nom de compte, son nom d'utilisateur et son mot de passe sont envoyés au serveur C2, puis elle est connectée à Roundcube.
Insikt Group a également identifié un échantillon JavaScript connexe datant de novembre 2022 (SHA256 : 6800357ec3092c56aab17720897c29bb389f70cb49223b289ea5365314199a26). Cet ancien échantillon était hébergé sur le domaine bugiplaysec[.]com, utilisait la même technique de chargement JavaScript et disposait d'une charge utile d'exfiltration d'informations d'identification similaire. Le contenu de la charge utile suggère qu'elle a été utilisée pour cibler le ministère ukrainien de la défense.
The compromised email servers represent a significant risk, particularly in the context of the ongoing conflict in Ukraine. They could expose sensitive information about Ukraine's war effort, its diplomatic relations, and its coalition partners. Moreover, the targeting of Iranian embassies in Russia and the Netherlands suggests a broader geopolitical interest in assessing Iran's diplomatic activities, especially regarding its support for Russia in Ukraine. Similarly, espionage against Georgian government entities reflects interests in monitoring Georgia's aspirations for European Union (EU) and NATO accession.
Mitigation Strategies
Pour atténuer le risque posé par la campagne TAG-70, les organisations doivent s’assurer que leurs installations Roundcube sont corrigées et mises à jour, tout en recherchant activement des indicateurs de compromission (IoC) dans leurs environnements. La sophistication des méthodes d’attaque de TAG-70 et le fait qu’il cible des entités gouvernementales et militaires soulignent la nécessité de prendre des mesures de cybersécurité robustes et de déployer des efforts proactifs de renseignements sur les menaces. La nature étendue des activités de TAG-70 et son impact potentiel sur la sécurité nationale soulignent l’urgence de la vigilance et de la préparation des organisations et des agences gouvernementales concernées.
Remarque : ce résumé du rapport a été publié pour la première fois le 16 février 2024 et a été mis à jour le 29 octobre 2024. L'analyse et les résultats d'origine restent inchangés.
To read the entire analysis, click here to download the report as a PDF.
Appendix A — Indicators of Compromise
| Domains: bugiplaysec[.]com hitsbitsx[.]com ocsp-reloads[.]com recsecas[.]com IP Addresses: 38.180.2[.]23 38.180.3[.]57 38.180.76[.]31 86.105.18[.]113 176.97.66[.]57 176.97.76[.]118 176.97.76[.]129 198.50.170[.]72 Malware Samples (SHA256): 6800357ec3092c56aab17720897c29bb389f70cb49223b289ea5365314199a26 ea22b3e9ecdfd06fae74483deb9ef0245aefdc72f99120ae6525c0eaf37de32e |
Appendix B — MITRE ATT&CK Techniques
| Tactic: Technique | ATT&CK Code |
| Initial Access: Phishing | T1583.001 |
| Execution: Exploitation for Client Execution | T1583.003 |
| Persistence: Valid Accounts | T1583.004 |
| Credential Access: Exploitation for Credential Access | T1566.002 |
| Credential Access: Input Capture | T1203 |
| Discovery: File and Directory Discovery | T1203 |
| Collection: Email Collection | T1203 |
| Command and Control: Non-Standard Port | T1203 |
Related