ロシアと連携するTAG-110がHATVIBEとCHERRYSPYでアジアとヨーロッパを狙う
概要
Insikt Groupは、中央アジア、東アジア、ヨーロッパの組織を狙った、ロシアに関連する脅威グループTAG-110による進行中のサイバースパイ活動を特定しました。TAG-110は、カスタムマルウェアツールのHATVIBEとCHERRYSPYを使用して、主に政府機関、人権団体、教育機関を攻撃します。このキャンペーンの戦術は、ロシアのAPTグループBlueDelta(APT28)に起因するUAC-0063の過去の活動と一致しています。HATVIBEは、データの流出やスパイ活動に使用されるPythonバックドアであるCHERRYSPYを展開するローダーとして機能します。初期アクセスは、多くの場合、フィッシングメールやRejetto HTTP File Serverのような脆弱なWeb向けサービスを悪用することで達成されます。
TAG-110の取り組みは、地政学的な展開に関する情報を収集し、旧ソ連諸国で影響力を維持するためのロシアの広範な戦略の一環と考えられます。Insikt Groupは、侵害の兆候、SnortおよびYARAルールを含む実用的なインサイトを提供し、組織を支援します。
ロシアと連携するTAG-110がHATVIBEとCHERRYSPYでアジアとヨーロッパを狙う
国家と連携した高度持続的脅威(APT)グループは、戦略的目標を達成するために洗練されたキャンペーンを実行し続けています。Insikt Groupは最近、中央アジア、東アジア、ヨーロッパの組織を標的とするTAG-110によるロシアに関連したサイバースパイ活動を特定しました。このグループは、HATVIBEやCHERRYSPYといったカスタムマルウェアを展開し、ロシアの地政学的利益に沿った作戦を実行しています。
主な調査結果
- TAG-110の概要:UAC-0063と重複する脅威グループであるTAG-110は、ロシアのAPTグループBlueDelta(APT28)と中程度の信頼性で関連付けられています。
- 対象: 中央アジアおよび周辺地域の政府、人権団体、教育機関。
- 使用されたマルウェア: カスタムHTMLアプリケーションローダー「HATVIBE」とPythonベースのバックドア「CHERRYSPY」はキャンペーンの中心です。
- 影響の規模:2024年7月以降、カザフスタン、キルギス、ウズベキスタンを中心に、11か国で62人の被害者が確認されています。
HATVIBE
HATVIBEは、CHERRYSPYのような追加のマルウェアをデプロイするためのローダーとして機能します。悪意のある電子メールの添付ファイルやWeb上の脆弱性を悪用して配信され、mshta.exeユーティリティによって実行されるスケジュールされたタスクを通じて持続性を確保します。
HATVIBEの難読化技術には、VBScriptエンコーディングとXOR暗号化が含まれます。一度展開されると、HTTP PUTリクエストを使用してコマンド・アンド・コントロール(C2)サーバーと通信し、重要なシステムの詳細を提供します。
CHERRYSPY
PythonベースのバックドアであるCHERRYSPYは、安全なデータ流出を可能にすることでHATVIBEを補完します。C2サーバーとの通信を確立するために、RSAやAdvanced Encryption Standard(AES)などの強力な暗号化手法を使用しています。TAG-110はCHERRYSPYを使用して被害者のシステムを監視し、機密情報を抽出します。しばしば政府機関や研究機関を標的とします。
キャンペーンの目的
TAG-110の活動は、ロシアの地政学的目標、特に緊張関係の中でロシア政府が影響力を維持しようとしている中央アジアにおける目標と一致しています。これらのキャンペーンを通じて収集されたインテリジェンスは、ロシアの軍事施策を強化し、地域の動向を理解するのに役立つ可能性があります。
緩和戦略
TAG-110や同様の脅威に対抗するために、組織は以下を実施する必要があります。
- 侵害の兆候(IoC)の監視:侵入検知システム(IDS)、侵入防御システム(IPS)、ネットワーク防御ツールを使用して、TAG-110に関連する悪意のあるドメインとIPを検出します。
- 検出ルールの展開:HATVIBEおよびCHERRYSPY関連の活動を特定するためにSnort、Suricata、YARAルールを活用します。
- 脆弱性へのパッチ適用:既知の脆弱性(例:CVE-2024-23692)の悪用を防ぐため、ソフトウェアをタイムリーに更新することを確実にしてください。
- 脅威に対する意識の向上:従業員にフィッシングの試みを認識させ、多要素認証を徹底させるためのトレーニングを行います。
- インテリジェンスツールの活用:Recorded Futureのソリューションを使用して、デジタルリスク保護、資格情報監視、リアルタイムの脅威インテリジェンスを実現します。
今後の展望
TAG-110は、中央アジアの旧ソ連諸国、ウクライナ、およびウクライナの同盟国に焦点を当てたサイバースパイ活動を継続すると予想されています。これらの地域は、ロシアのウクライナ侵攻後の緊張関係により、モスクワにとって重要な地域となっています。TAG-110とBlueDeltaの関係は未確認のままですが、その活動は国家安全保障、軍事作戦、地政学的影響力におけるBlueDeltaの戦略的利益と一致しています。
分析全文を読むには、ここをクリックしてレポートをPDF形式でダウンロードしてください。
付録A — 侵害を示す指標
|
C2ドメイン: enrollmentdm[.]com errorreporting[.]net experience-improvement[.]com game-wins[.]com internalsecurity[.]us lanmangraphics[.]com retaildemo[.]info shared-rss[.]info telemetry-network[.]com tieringservice[.]com trust-certificate[.]net C2 IPアドレス: 5.45.70[.]178 45.136.198[.]18 45.136.198[.]184 45.136.198[.]189 46.183.219[.]228 84.32.188[.]23 185.62.56[.]47 185.158.248[.]198 185.167.63[.]42 194.31.55[.]131 212.224.86[.]69 |
付録B — MITRE ATT&CK手法
| 戦術:手法 | ATT&CKコード |
| リソース開発: インフラストラクチャの取得:仮想プライベートサーバー | T1583.003 |
| 初期アクセス: 公開アプリケーションの悪用 | T1190 |
| 初期アクセス:スピアフィッシング添付ファイル | T1566.001 |
| 実行: Visual Basic | T1059.005 |
| 実行:悪意のあるファイル | T1204.002 |
| 永続性:スケジュールされたタスク | T1053.005 |
| 防御回避:暗号化/エンコードされたファイル | T1027.013 |
| 防御回避:システムバイナリプロキシ実行:Mshta | T1218.005 |
| コマンド&コントロール:Webプロトコル | T1071.001 |
| コマンド&コントロール:対称暗号 | T1573.001 |
| コマンド&コントロール:非対称暗号 | T1573.002 |
関連