HATVIBE és CHERRYSPY: a TAG-110 kiberkémkedési kampányának eszközei
Az Insikt Group azonosított egy folyamatban lévő kiberkémkedési kampányt, amelyet a TAG-110 (UAC-0063), egy Oroszországgal szövetséges kiberszereplő folytat, és amelynek célpontjai közép-ázsiai, kelet-ázsiai és európai szervezetek. A TAG-110 a HATVIBE és a CHERRYSPY egyedi kártékony kódokat használva elsősorban kormányzati szervezeteket, emberi jogi csoportokat és oktatási intézményeket támad. A kampány taktikája megegyezik a BlueDelta (APT28) orosz APT-csoportnak tulajdonított UAC-0063 történelmi tevékenységével. A HATVIBE betöltőként funkcionál a CHERRYSPY, egy Python backdoor telepítéséhez, amelyet adatszivárogtatásra és kémkedésre használnak. A kezdeti hozzáférést gyakran adathalász e-mailekkel vagy sérülékeny webes szolgáltatások, például a Rejetto HTTP File Server kihasználásával érik el.
2024 júliusa óta az Insikt Group nyomon követi a TAG-110-nek tulajdonított aktív HATVIBE és CHERRYSPY infrastruktúrát. Ez idő alatt az Insikt Group 62 egyedi áldozatot azonosított Örményországból, Kínából, Görögországból, Magyarországról, Indiából, Kazahsztánból, Kirgizisztánból, Tádzsikisztánból, Türkmenisztánból, Ukrajnából és Üzbegisztánból, akik ezzel az infrastruktúrával kommunikáltak.
A HATVIBE betöltőként szolgál további rosszindulatú programok, például a CHERRYSPY telepítéséhez. Rosszindulatú e-mail mellékleteken vagy webes sérülékenységek kihasználásával juttatják el a célpontokhoz, és az mshta.exe segédprogram által végrehajtott ütemezett feladatokon keresztül éri el a perzisztenciát. A HATVIBE obfuszkációs technikái közé tartozik a VBScript kódolás és az XOR titkosítás. A telepítést követően HTTP PUT-kérések segítségével kommunikál a C2 szerverrel, és kritikus rendszeradatokat szolgáltat.
A CHERRYSPY, egy Python-alapú backdoor, kiegészíti a HATVIBE-t azzal, hogy biztonságos adatszivárogtatást tesz lehetővé. A C2 kiszolgálókkal való kommunikációhoz robusztus titkosítási módszereket használ, beleértve az RSA-t és az Advanced Encryption Standard (AES) titkosítási szabványt. A TAG-110 a CHERRYSPY-t használja az áldozatok rendszereinek megfigyelésére és érzékeny információk kinyerésére.
A TAG-110 erőfeszítései valószínűleg egy szélesebb körű orosz stratégia részét képezik, amelynek célja a geopolitikai fejleményekről való hírszerzés és a posztszovjet államokban való befolyás fenntartása.
Az Insikt Group a szervezetek számára további hasznos információk is megosztott a kampányról, beleértve IOC-kat, valamint Snort és YARA szabályokat.
