ロシアと連携するTAG-70が新たなスパイ活動で欧州政府と軍のメールサーバーを標的に
Recorded FutureのInsikt Groupは、少なくとも2020年12月以降、ベラルーシとロシアの代理で活動し、ヨーロッパと中央アジアの政府、軍隊、国のインフラ機関に対してサイバースパイ活動を行っていると思われる脅威アクターTAG-70を特定しました。TAG-70は、Winter Vivern、TA473、UAC-0114という別名で他のセキュリティベンダーによって報告された活動と重複しています。
2023年10月から12月にかけて実行された最新のキャンペーンでは、TAG-70は、主にジョージア、ポーランド、ウクライナの80を超える組織を標的とし、Roundcubeウェブメールサーバーのクロスサイトスクリプティング(XSS)の脆弱性を悪用しています。このキャンペーンは、2023年2月にInsikt Groupによって報告されたインフラストラクチャを含む、ウズベキスタン政府のメールサーバーに対する追加のTAG-70活動に関連しています。
TAG-70’s targeting of Roundcube webmail servers is only the most recent instance of targeting email software attributed to Russia-aligned threat actor groups. In June 2023, Insikt Group discovered that the Russian state-sponsored cyber-espionage group BlueDelta (APT28, Fancy Bear) was targeting vulnerable Roundcube installations across Ukraine and had previously exploited CVE-2023-23397, a critical zero-day vulnerability in Microsoft Outlook in 2022. Other well-known Russian threat actor groups, such as Sandworm and BlueBravo (APT29, Midnight Blizzard), have also previously targeted email solutions in various campaigns.
2023年10月のTAG-70s Roundcubeエクスプロイトの被害者の地理的分布(出典:Recorded Future)
In this campaign, beginning on March 16, 2023, Insikt Group used Recorded Future Network Intelligence to detect suspicious activity from a victim IP address belonging to the Center for Economic Research and Reforms of Uzbekistan. The victim IP address was observed communicating with the domain bugiplaysec[.]com over TCP port 443, which at the time resolved to IP address 176.97.66[.]57. This data was then likely relayed to command and control (C2) IP address 198.50.170[.]72 on TCP port 7662. It is suspected that TAG-70 administered 198.50.170[.]72 via Tor. CERT-UA attributed the domain bugiplaysec[.]com to TAG-70 in February 2023.
Insikt Group observed similar activity between an IP address registered to the Embassy of the Republic of Uzbekistan in Ukraine and a previously reported C2 domain, ocsp-reloads[.]com, which resolved to IP address 38.180.2[.]23. This additional C2 likely forwarded the data it received to IP address 86.105.18[.]113 on TCP port 1194 and TAG-70 likely connected to the C2 via Tor, also below.
2023年3月のTAG-70運用インフラ(出典:Recorded Future)
On July 27, 2023, a new TAG-70 domain, hitsbitsx[.]com, resolved to IP address 176.97.66[.]57. Insikt Group also detected this domain in a JavaScript-based malware sample uploaded to a malware repository (SHA256: ea22b3e9ecdfd06fae74483deb9ef0245aefdc72f99120ae6525c0eaf37de32e). The discovered JavaScript malware matches the second-stage loader used in TAG-70’s previous Roundcube exploitation described by ESET. This JavaScript is loaded via XSS from a malicious email and is used to decode a Base64-encoded JavaScript payload (jsBodyBase64). The payload is then inserted into the Document Object Model (DOM) of the Roundcube webpage within a newly created script tag.
図3に示すJavaScriptペイロードjsBodyBase64の内容から、アクターがジョージア国防省のドメインmail[.]mod[.]gov[.]geを狙っていたことがわかります。このペイロードの構造はESETのレポートで説明されているものと重複していますが、機能は異なります。被害者のメールボックスの内容を盗み出すのではなく、ユーザーをRoundcubeからログアウトさせ、新しいサインインウィンドウを表示します。被害者が認証情報を送信すると、アカウント名、ユーザー名、パスワードがC2サーバに送信され、Roundcubeにログインされます。
Insikt Group also identified a related JavaScript sample from November 2022 (SHA256: 6800357ec3092c56aab17720897c29bb389f70cb49223b289ea5365314199a26). This older sample was hosted on the domain bugiplaysec[.]com, used the same JavaScript loader technique, and had a similar credential exfiltration payload. The content within the payload suggests that it was used to target the Ukrainian Ministry of Defence.
侵害された電子メールサーバーは、特にウクライナで進行中の紛争の文脈において、重大なリスクを表しています。 彼らは、ウクライナの戦争努力、外交関係、および連合パートナーに関する機密情報を暴露する可能性があります。 さらに、ロシアとオランダのイラン大使館を標的にしていることは、イランの外交活動、特にウクライナにおけるロシアへの支援を評価する上で、より広範な地政学的関心があることを示唆している。 同様に、グルジア政府機関に対するスパイ活動は、欧州連合(EU)とNATO加盟に対するグルジアの願望を監視することへの関心を反映している。
緩和戦略
TAG-70のキャンペーンによってもたらされるリスクを軽減するために、組織は、環境内の侵害の兆候(IoC)を積極的に探しながら、Roundcubeインストールにパッチが適用され、最新の状態であることを確認する必要があります。TAG-70 の攻撃手法の洗練性と政府機関や軍事組織を標的としていることから、強力なサイバーセキュリティ対策と積極的な脅威インテリジェンスの取り組みの必要性が強調されます。TAG-70の活動の広範囲にわたる性質と、国家安全保障に及ぼす潜在的なその影響は、影響を受ける組織と政府機関が警戒と準備を整える緊急性を浮き彫りにしています。
注:本レポートの概要は2024年2月16日に発表され、2024年10月29日に更新されました。当初の分析と調査結果に変更はありません。
分析全文を読むには、ここをクリックしてレポートをPDF形式でダウンロードしてください。
付録A — 侵害を示す指標
| ドメイン: bugiplaysec[.]com hitsbitsx[.]com ocsp-reloads[.]com recsecas[.]com IP Addresses: 38.180.2[.]23 38.180.3[.]57 38.180.76[.]31 86.105.18[.]113 176.97.66[.]57 176.97.76[.]118 176.97.76[.]129 198.50.170[.]72 Malware Samples (SHA256): 6800357ec3092c56aab17720897c29bb389f70cb49223b289ea5365314199a26 ea22b3e9ecdfd06fae74483deb9ef0245aefdc72f99120ae6525c0eaf37de32e |
付録B — MITRE ATT&CK手法
| 戦術:手法 | ATT&CKコード |
| Initial Access: フィッシング | T1583.001 |
| Execution: Exploitation for Client Execution | T1583.003 |
| Persistence: Valid Accounts | T1583.004 |
| Credential Access: Exploitation for Credential Access | T1566.002 |
| Credential Access: Input Capture | T1203 |
| Discovery: File and Directory Discovery | T1203 |
| Collection: Email Collection | T1203 |
| Command and Control: Non-Standard Port | T1203 |
関連ニュース&研究