UAC-0063 ve APT28’e (Bluedelta) CERT-UA tarafından orta güvenle bağlantılı olan Rusya’ya uyumlu tehdit oyuncusu TAG-1010, Tacikistan’daki hükümeti, eğitim ve araştırma kuruluşlarını hedeflemek için taktikleri değiştirdi.
Insikt Group’un kaydedilmiş gelecek raporundan analizine göre, TAG-1010, en az 2023’ten beri kullandığı HatVibe gibi HTA tabanlı yüklerin geleneksel kullanımından, başlangıç erişim ve kalıcılığı için makro özellikli Microsoft Word Şablon Dosyaları’ndan (.dotm) yararlanmaya taşındı.
Meşru Tacikistan hükümet temalı belgelerle karışmak için tasarlanan bu kötü niyetli şablonlar, seçimler veya askeri operasyonlar gibi hassas bölgesel olaylar sırasında Rusya’nın Orta Asya’daki etkisini istihbarat toplanması yoluyla desteklemeyi amaçlayan taktik bir evrimi temsil ediyor.
.png
)
Yeni Kimlik Yardım Taktikleri Tacikistan Kurumlarını Hedef
Kampanya, SHA256 karmalarıyla tanımlanan iki özel belgeyi içerir: D60E54854F2B28C2CE197F8A3B37440DF5503ECE9E9E5EB7, Tajikistan’ın armsed forgs için radyasyon güvenliği etrafında temalı ve 8508003C5AAFDF89749D0ABBFB9F5DEB6D7B615F604BBB1B8702DDBA2E365E7, Dushanbe’deki seçim programları ile ilgili.
2024’ün sonlarında oluşturulan ve ilk olarak 2025’in başlarında görülen her iki dosya da, kendilerini Microsoft Word başlangıç klasörüne (%AppData%\ microsoft \ word \ startup) küresel şablonlar olarak kopyalayarak kalıcılık oluşturmak için VBA makrolarını kullanın.
Document_open () ve AutoExec () alt prosedürleri tarafından tetiklenen yürütme üzerine, makrolar bilgisayar adı, kullanıcı adı ve izleme çözümü gibi sistem bilgilerini toplayarak 38.180.206 numaralı telefondan bir komut ve kontrol (C2) sunucusuna ileterek[.]61: 80/motor.php, Base64 kodlu tanımlayıcılarla HTTP Post istekleri aracılığıyla.
Kötü niyetli yüklerin teknik dökümü
GetInfo () ve Start () Alt Prosedürleri, C2 sunucusuyla iletişimi daha da etkinleştirir ve muhtemelen ek kötü amaçlı kodun yürütülmesini kolaylaştırır ve potansiyel olarak Cherryspy veya Logpie gibi bilinen TAG-110 kötü amaçlı yazılımları dağıtır.
.Dotm dosyalarına yapılan bu geçiş, daha önce kullanılan hatvibe yükü üzerinde gizli ve kalıcılığa öncelik verir ve tespit edilmeyen VBA makro davranışını manipüle etmek için AccessVBOM gibi kayıt defteri değişikliklerini kullanır.
Insikt Group, cazibe belgelerinin özgünlüğünün doğrulanmamış olmasına rağmen, TAG-10’un meşru hükümet materyallerini kullanma tarihsel modelinin, Tacikistan’ın kamu sektöründeki hedefleri aldatmak için yüksek bir şekilde özel spearfishing olasılığının olduğunu düşündürmektedir.
Bu kampanya, TAG-110’un Rusya’nın Orta Asya’daki jeopolitik hedefleriyle devam eden ve bölgesel politika ve güvenliği etkilemek için istihbarat toplama üzerine odaklanıyor.
Kuruluşlar, yetkisiz şablon dosyaları için başlangıç dizinini izlemeye, varsayılan olarak makroları devre dışı bırakmaları ve riskleri azaltmak için kayıt defteri değişikliklerini algılamaları istenir.
Insikt Group, TAG-1010’un, casusluk tabanını korumak için gelişen taktikler ve özel kötü amaçlı yazılımları kullanarak, özellikle önemli olaylar etrafında Orta Asya kuruluşlarını hedeflemeye devam edeceğini öngörüyor.
Uzlaşma Göstergeleri (IOC)
| Tip | Gösterge |
|---|---|
| IP adresleri | 38.180.206[.]61, 188.130.234[.]189 |
| SHA256 Hashes | D60E54854F2B28C2CE197F8A3B37440DFA8DEA18CE7939A356F5503ECE9E5B7, 6C81D2AF9503ECE9E5B7, 8508003c5aafdf89749d0bbbb9f5db6d7b6b615f604bbbb1b8702dba2e365e7 |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!