TAG-150 fenyegetési szereplő tevékenysége
Az Insikt Group azonosított egy új fenyegető szereplőt, a TAG-150-et, amely legalább 2025 márciusa óta aktív, és amelyet gyors fejlődés, technikai kifinomultság, a nyilvános jelentésekre való reagálóképesség és egy folyamatosan fejlődő infrastruktúra jellemez. A TAG-150-hez kapcsolódó infrastruktúra magában foglalja mind az áldozatokkal kapcsolatos Tier 1 komponenseket, mint például az IP-címeket és a több rosszindulatú programcsalád C2 szervereként használt domaineket, mind a több rétegből álló, magasabb szintű infrastruktúrát.
A jelentés szerint a TAG-150 2025 márciusa óta több, valószínűleg saját fejlesztésű rosszindulatú programcsaládot használt, kezdve a CastleLoaderrel és a CastleBottal, legutóbb pedig a CastleRAT-ot is alkalmazta, ami egy korábban nem dokumentált távoli hozzáférést biztosító trójai program.
A fertőzések leggyakrabban Cloudflare-témájú „ClickFix” adathalász támadások vagy legitim alkalmazásoknak álcázott csaló GitHub-tárolókkal indulnak. Az operátorok a ClickFix technikát alkalmazzák szoftverfejlesztési könyvtárakat, online találkozóplatformokat, böngészőfrissítési figyelmeztetéseket és dokumentumellenőrző rendszereket utánzó domainekkel. Az áldozatokat ráveszik, hogy rosszindulatú PowerShell-parancsokat másoljanak és futtassanak a saját eszközeiken, ezáltal lehetővé téve a fertőzést. A nyilvános jelentések szerint bár az összes kattintás és letöltés száma korlátozott volt, a rosszindulatú linkekkel interakcióba lépő áldozatok 28,7%-os fertőzési aránya aláhúzza a TAG-150 hatékonyságát.
A TAG-150 elleni védelem érdekében a biztonsági szakembereknek javasolt blokkolniuk a kapcsolódó loader-ekhez, infostealerekhez és RAT-okhoz kapcsolódó IP-címeket és domaineket, valamint azonosítani és blokkolni a szokatlan LIS-ekhez, például a Pastebinhez köthető kapcsolatokat. Emelett javasolt alkalmazni a YARA és Snort szabályokat.
