Свързана с Русия група за кибершпионаж е направила над 60 жертви в Азия и Европа, главно в правителствения сектор, сектора на човешките права и образованието, съобщава Recorded Future.
Първоначално идентифицирана през май 2023 г. и проследявана като TAG-110, дейността на субекта на заплаха се припокрива с тази на UAC-0063, която украинският екип на CERT е свързал със спонсорирания от руската държава субект на напреднали устойчиви заплахи (APT) APT28 (известен също като BlueDelta, Fancy Bear, Forrest Blizzard, Sednit и Sofacy).
TAG-110 е активна поне от 2021 г., като е насочена към правителствени, образователни и изследователски структури в Централна Азия, Индия, Израел, Монголия и Украйна със зловреден софтуер като HatVibe, CherrySpy, LogPie и StillArch.
Като част от продължаващата кампания за кибершпионаж, разкрита от Recorded Future, е забелязано, че колективът е разгърнал HatVibe и CherrySpy срещу структури в Таджикистан, Киргизстан, Туркменистан и Казахстан, с допълнителни жертви в Армения, Китай, Индия, Гърция, Украйна, Узбекистан и Унгария.
От юли 2024 г. насам Recorded Future идентифицира 62 уникални жертви на TAG-110, включително дъщерното дружество на казахстанската държавна петролна и газова компания KMG-Security, таджикска образователна и изследователска институция и Националния център за правата на човека в Узбекистан.
Наблюдавано е, че групата разчита на зловредни прикачени файлове към имейли и на използването на уязвими интернет услуги като Rejetto HTTP File Server (HFS) за първоначален достъп, както и на използването на HatVibe за зареждане на задната врата CherrySpy.
HatVibe е потребителско HTML приложение (HTA) за зареждане, използвано от април 2023 г., което потенциално позволява на извършителя на заплахата да изпълни всеки VBScript, получен от неговия сървър за управление и контрол (C&C), казва Recorded Future.
Също използван от април миналата година, CherrySpy е персонализиран бекдор на Python, който задава планирана задача за постоянство, използва защитен канал за комуникация с C&C и непрекъснато анкетира C&C сървъра за задачи за изпълнение.
TAG-110, както отбелязва Recorded Future, използва задната врата CherrySpy, за да наблюдава системите на жертвите и да извлича чувствителна информация.
„Дейността на TAG-110 съответства на геополитическите цели на Русия, особено в Централна Азия, където Москва се стреми да запази влиянието си в условията на обтегнати отношения. Разузнавателните данни, събрани чрез тези кампании, вероятно помагат за засилване на военните усилия на Русия и за разбиране на регионалната динамика“, казват от Recorded Future.
