Свързана с Русия група за кибершпионаж е направила над 60 жертви в Азия и Европа, главно в правителствения сектор, сектора на човешките права и образованието, съобщава Recorded Future.
Първоначално идентифицирана през май 2023 г. и проследявана като TAG-110, дейността на субекта на заплаха се припокрива с тази на UAC-0063, която украинският екип на CERT е свързал със спонсорирания от руската държава субект на напреднали устойчиви заплахи (APT) APT28 (известен също като BlueDelta, Fancy Bear, Forrest Blizzard, Sednit и Sofacy).
TAG-110 е активна поне от 2021 г., като е насочена към правителствени, образователни и изследователски структури в Централна Азия, Индия, Израел, Монголия и Украйна със зловреден софтуер като HatVibe, CherrySpy, LogPie и StillArch.
Като част от продължаващата кампания за кибершпионаж, разкрита от Recorded Future, е забелязано, че колективът е разгърнал HatVibe и CherrySpy срещу структури в Таджикистан, Киргизстан, Туркменистан и Казахстан, с допълнителни жертви в Армения, Китай, Индия, Гърция, Украйна, Узбекистан и Унгария.
От юли 2024 г. насам Recorded Future идентифицира 62 уникални жертви на TAG-110, включително дъщерното дружество на казахстанската държавна петролна и газова компания KMG-Security, таджикска образователна и изследователска институция и Националния център за правата на човека в Узбекистан.
Наблюдавано е, че групата разчита на зловредни прикачени файлове към имейли и на използването на уязвими интернет услуги като Rejetto HTTP File Server (HFS) за първоначален достъп, както и на използването на HatVibe за зареждане на задната врата CherrySpy.
HatVibe е потребителско HTML приложение (HTA) за зареждане, използвано от април 2023 г., което потенциално позволява на извършителя на заплахата да изпълни всеки VBScript, получен от неговия сървър за управление и контрол (C&C), казва Recorded Future.
Също използван от април миналата година, CherrySpy е персонализиран бекдор на Python, който задава планирана задача за постоянство, използва защитен канал за комуникация с C&C и непрекъснато анкетира C&C сървъра за задачи за изпълнение.
TAG-110, както отбелязва Recorded Future, използва задната врата CherrySpy, за да наблюдава системите на жертвите и да извлича чувствителна информация.
„Дейността на TAG-110 съответства на геополитическите цели на Русия, особено в Централна Азия, където Москва се стреми да запази влиянието си в условията на обтегнати отношения. Разузнавателните данни, събрани чрез тези кампании, вероятно помагат за засилване на военните усилия на Русия и за разбиране на регионалната динамика“, казват от Recorded Future.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
