ロシアと連携するTAG-70が新たなスパイ活動で欧州政府と軍のメールサーバーを標的に

Recorded FutureのInsikt Groupは、少なくとも2020年12月以降、ベラルーシとロシアの代理で活動し、ヨーロッパと中央アジアの政府、軍隊、国のインフラ機関に対してサイバースパイ活動を行っていると思われる脅威アクターTAG-70を特定しました。

2023年10月から12月にかけて実行された最新のキャンペーンでは、TAG-70は、主にジョージア、ポーランド、ウクライナの80を超える組織を標的とし、Roundcubeウェブメールサーバーのクロスサイトスクリプティング（XSS）の脆弱性を悪用しています。この活動は、BlueDelta（APT28）やSandwormなど、過去のキャンペーンでRoundcubeなどのメールソリューションを標的にした他のロシア関連の脅威グループを彷彿とさせます。

2023年10月のTAG-70s Roundcubeエクスプロイトの被害者の地理的分布(出典:Recorded Future)

侵害された電子メールサーバーは、特にウクライナで進行中の紛争の文脈において、重大なリスクを表しています。 彼らは、ウクライナの戦争努力、外交関係、および連合パートナーに関する機密情報を暴露する可能性があります。 さらに、ロシアとオランダのイラン大使館を標的にしていることは、イランの外交活動、特にウクライナにおけるロシアへの支援を評価する上で、より広範な地政学的関心があることを示唆している。 同様に、グルジア政府機関に対するスパイ活動は、欧州連合(EU)とNATO加盟に対するグルジアの願望を監視することへの関心を反映している。

TAG-70のキャンペーンによってもたらされるリスクを軽減するために、組織は、環境内の侵害の兆候（IoC）を積極的に探しながら、Roundcubeインストールにパッチが適用され、最新の状態であることを確認する必要があります。TAG-70 の攻撃手法の洗練性と政府機関や軍事組織を標的としていることから、強力なサイバーセキュリティ対策と積極的な脅威インテリジェンスの取り組みの必要性が強調されます。TAG-70の活動の広範囲にわたる性質と、国家安全保障に及ぼす潜在的なその影響は、影響を受ける組織と政府機関が警戒と準備を整える緊急性を浮き彫りにしています。

分析全文を読むには、ここをクリックしてレポートをPDF形式でダウンロードしてください。

付録A — 侵害を示す指標

ドメイン： bugiplaysec[.]コム hitsbitsx[.]コム ocsp-reloads[.]コム レセカス[.]コム IPアドレス: 38.180.2[.]23 38.180.3[.]57 38.180.76[.]31 86.105.18[.]113 176.97.66[.]57 176.97.76[.]118 176.97.76[.]129 198.50.170[.]72 マルウェアサンプル (SHA256): 6800357ec3092c56aab17720897c29bb389f70cb49223b289ea5365314199a26 EA22B3E9ECDFD06FAE74483DEB9EF0245AEFDC72F99120AE6525C0EAF37DE32E

付録B — MITRE ATT&CK手法

戦術：手法	ATT&CKコード
初期アクセス: フィッシング	T1583.001
実行： クライアント実行のためのエクスプロイト	T1583.003
固執： 有効なアカウント	T1583.004
資格情報へのアクセス: クレデンシャルアクセスの悪用	T1566.002
資格情報へのアクセス: 入力キャプチャ	T1203
発見： ファイルとディレクトリの検出	T1203
徴収： 電子メール収集	T1203
コマンド&コントロール: 非標準ポート	T1203