TAG-100: egy új támadó csoport nyílt forráskódú eszközöket használ

A feltételezett kiberkémkedési kampány, amelyet jelenleg TAG-100 néven követ a Recorded Future Insikt csoportja, meg nem nevezett fenyegető szereplőket érint, akik kormányzati és magánszervezeteket céloznak világszerte. A feltételezett fenyegető szereplők a jelentések szerint legalább tíz ország és két ázsiai-csendes-óceáni kormányközi szervezet szervezeteit veszélyeztették nyílt forráskódú eszközökkel. Az elsődleges célpontok 2024 februárja óta diplomáciai, kormányzati, non-profit és vallási szervezetek, valamint nevezetesen a félvezető-ellátási lánc voltak. A bejelentett támadások olyan internetre néző termékek biztonsági hibáit érintik, mint a Citrix NetScaler, az F5 BIG-IP, a Microsoft Exchange Server és számos más termék.

Ezen túlmenően a TAG-100 a jelentések szerint átfogó felderítő tevékenységet folytatott nem kevesebb, mint tizenöt országban található szervezetek különböző online eszközeit célozva. Ez a felderítés a világ különböző részein található kubai nagykövetségekre is kiterjedt. 2024. április 16-án a TAG-100 valószínűsíthetően olyan Palo Alto Networks GlobalProtect készülékeket támadott meg, amelyek elsősorban az Egyesült Államokban található különböző szervezetek tulajdonában vannak.

Az eredmények rávilágítanak arra, hogy a proof-of-concept exploitok és a nyílt forráskódú programok hogyan használhatók együttesen a támadások irányítására, csökkentve a kevésbé kifinomult fenyegető szereplők belépési korlátját. Ez a módszertan lehetővé teszi a támadók számára, hogy megnehezítsék az attribúciós erőfeszítéseket és elkerüljék a felderítést. Különösen aggasztó az internetre néző készülékek széles körű célba vétele, mivel ezek megfertőzése stratégiai támadási felületet biztosíthat a célzott hálózaton belül, ami gyakran csökkenti a támadás utáni felderítés kockázatát. Ez stratégiai és módszeres megközelítésre utal, és rámutat az ilyen rossz gyakorlatok riasztó potenciáljára a kiberkémkedés területén.

(forrás)

(forrás)