TAG-110 olarak bilinen Rusya’ya uyumlu tehdit oyuncusu, ilk yük olarak makro özellikli kelime şablonlarını kullanarak Tacikistan’ı hedefleyen bir mızrak aktı kampanyası gerçekleştirildi.
Saldırı zinciri, Tehdit Oyuncunun HatVibe olarak adlandırılan bir HTML başvurusu (.HTA) yükleyicisinin daha önce belgelenmiş kullanımından ayrılıyor, Kayıtlı Future’s Insikt Group bir analizde.
Siber güvenlik şirketi, “TAG-11’in Orta Asya’daki kamu sektörü kuruluşlarının tarihsel hedeflemesi göz önüne alındığında, bu kampanya muhtemelen Tacikistan’daki hükümet, eğitim ve araştırma kurumlarını hedefliyor.”
Diyerek şöyle devam etti: “Bu siber casusluk operasyonları, özellikle seçimler veya jeopolitik gerilimler gibi hassas olaylar sırasında bölgesel siyaseti veya güvenliği etkilemek için istihbarat toplamayı amaçlamaktadır.”
UAC-0063 olarak da adlandırılan TAG-110, Avrupa büyükelçiliklerini hedeflemesi ile Orta Asya, Doğu Asya ve Avrupa’daki diğer kuruluşlarla bilinen bir tehdit faaliyet grubuna atanan isimdir. En azından 2021’den beri aktif olduğuna inanılıyor.
Rus ulus-devlet korsanlığı mürettebatı APT28 ile örtüşmelerle ilgili olarak değerlendirilen tehdit oyuncusu ile ilişkili faaliyetler ilk olarak Mayıs 2023’te Romanya siber güvenlik şirketi Bitdefender tarafından Kazakistan ve Afganistan’daki hükümet kuruluşlarını hedefleyen bir Downex (aka Stilarch) ile bağlantılı olarak belgelendi.
Bununla birlikte, Ukrayna’nın bilgisayar acil müdahale ekibinin (CERT-UA), aynı ay sonra Logpie, Cherryspy (Downexpyer), Downex ve Pyplunderplug gibi kötü amaçlı suşları kullanarak siber saldırıları ortaya çıkardıktan sonra resmi olarak UAC-0063’ü resmen atandı.
Ocak 2025’ten itibaren gözlemlenen Tacikistan organizasyonlarına yönelik en son kampanya, Makro Etkin Kelime Şablonu (.dotm) dosyaları lehine HTA gömülü mızrak-akma ekleri ile dağıtılan HatVibe’den uzaklaşarak taktiklerinin bir evrimini vurguladı.
Recorded Future, “Daha önce, TAG-110, HTA tabanlı bir kötü amaçlı yazılım olan HatVibe’i ilk erişim için teslim etmek için makro özellikli kelime belgelerini kaldırdı.” Dedi. “Yeni algılanan belgeler, planlanmış bir görev oluşturmak için gömülü HTA hatvibe yükünü içermez ve bunun yerine kalıcılık için başlangıç klasörüne yerleştirilen global bir şablon dosyasını kullanır.”
Kimlik avı e-postalarının, Tacikistan hükümet temalı belgeleri, truva edilmiş meşru hükümet belgelerini kötü amaçlı yazılım dağıtım vektörü olarak tarihsel olarak kullanmasıyla hizalanan lure materyali olarak kullandığı bulunmuştur. Ancak siber güvenlik şirketi, bu belgelerin gerçekliğini bağımsız olarak doğrulayamayacağını söyledi.
Dosyalarla birlikte, belge şablonunu otomatik yürütme için Microsoft Word Startup klasörüne yerleştirmekten ve daha sonra bir komut ve kontrol (C2) sunucusu ile iletişimi başlatmaktan ve potansiyel olarak C2 yanıtlarıyla verilen ek VBA kodunu yürütmekten sorumlu bir VBA makrodur. İkinci aşama yüklerin kesin doğası bilinmemektedir.
Şirket, “Bununla birlikte, TAG-10’un tarihsel etkinliği ve araç setine dayanarak, makro etkin şablonlar aracılığıyla başarılı bir başlangıç erişiminin, hatvibe, Cherryspy, Logpie veya potansiyel olarak compionage operasyonları için tasarlanmış yeni, özel olarak geliştirilmiş bir yük gibi ek kötü amaçlı yazılımların dağıtılmasına neden olması muhtemeldir.” Dedi.