Rusya’ya bağlı bir tehdit grubu olan TAG-110, Orta Asya, Doğu Asya ve Avrupa kuruluşlarını hedef alan bir siber casusluk çalışması yürütüyor.
Grup esas olarak HATVIBE ve CHERRYSPY gibi özel kötü amaçlı yazılımlara sahip devlet kurumlarını, insan hakları kuruluşlarını ve eğitim kurumlarını hedef alıyor.
Dahası, TAG-110’un faaliyetleri büyük olasılıkla Rusya’nın Sovyet sonrası devletlerde nüfuzunu sürdürme ve jeopolitik gelişmeler hakkında istihbarat toplama yönündeki daha büyük stratejisinin bir parçasını oluşturuyor
KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın
Recorded Future’dan Insikt Group’a göre Temmuz 2024 itibarıyla 11 ülkede 62 kurban tespit edildi; Kırgızistan, Özbekistan ve Kazakistan’da kayda değer olaylar yaşandı.
TAG-110 Tehdit Grubuna Genel Bakış
TAG-110, CERT-UA’nın BlueDelta’ya (APT28) “orta güvenle” bağladığı, kamuoyunca bilinen UAC-0063 grubuyla benzerlikler paylaşan bir tehdit faaliyet grubudur. TAG-110, en az 2021 yılından bu yana Rus devletinin çıkarları doğrultusunda casusluk operasyonları yürütüyor.
Daha önceki kaynaklara göre TAG-110, İsrail, Ukrayna ve Moğolistan’da bulunan ek hedeflerle birlikte çoğunlukla Orta Asya’daki kuruluşları hedef alıyor.
TAG-110, insanları hedeflemek için HATVIBE ve CHERRYSPY gibi özel kötü amaçlı yazılım ailelerini kullanıyor. Araştırmacılar, TAG-110 tehdit grubunun UAC-0063 ile benzerlikler taşıdığını söylüyor. Rus APT grubu BlueDelta (APT28) ile orta derecede güvenle bağlantılıdır.
ALTMIŞ YIL
TAG-110, en az Nisan 2023’ten beri özelleştirilmiş bir HTML Uygulaması (HTA) yükleyicisi olan HATVIBE’yi kullanıyor. HATVIBE’nin temel amacı, CHERRYSPY arka kapısı gibi daha fazla kötü amaçlı yazılım yüklemektir.
Kötü amaçlı e-posta ekleri aracılığıyla veya CVE-2024-23692 gibi web’e yönelik güvenlik açıklarından yararlanılarak dağıtılır.
Mshta.exe yardımcı programı, kalıcılık sağlayan zamanlanmış işlemleri gerçekleştirmek için kullanılır. HATVIBE tarafından kullanılan gizleme yöntemleri arasında XOR şifrelemesi ve VBScript kodlaması bulunur.
Dağıtımdan sonra, komut ve kontrol (C2) sunucularıyla iletişim kurmak için HTTP PUT isteklerini kullanarak hayati sistem bilgilerini verir.
KİRAZSPY
TAG-110, en azından Nisan 2023’ten bu yana casusluk amacıyla özelleştirilmiş Python arka kapısı CHERRYSPY’ı kullanıyor.
HATVIBE’nin CHERRYSPY’yi indirdiği ve bir Python yorumlayıcısı kullanarak başlattığı keşfedildi. RSA ve Gelişmiş Şifreleme Standardı (AES) gibi güçlü şifreleme tekniklerini kullanarak C2 sunucularıyla iletişim kurar.
Sıklıkla devlet kurumlarını ve araştırma kuruluşlarını hedef alan TAG-110, kurbanların sistemlerini izlemek ve özel verileri almak için CHERRYSPY’ı kullanıyor.
- TAG-110’a bağlı kötü amaçlı etki alanlarını ve IP’leri bulmak için ağ savunma araçlarını, izinsiz giriş tespit sistemlerini ve izinsiz giriş önleme sistemlerini kullanın.
- HATVIBE ve CHERRYSPY ile bağlantılı etkinlikleri tespit etmek için Snort, Suricata ve YARA kurallarını kullanın.
- CVE-2024-23692 gibi bilinen güvenlik açıklarından yararlanılmasını önlemek için yazılım güncellemelerinin zamanında yapıldığından emin olun.
- Çalışanlarınıza kimlik avı girişimlerini tespit etme ve çok faktörlü kimlik doğrulamayı uygulama yollarını öğretin.
Uzlaşma Göstergeleri
C2 Domains:
enrollmentdm[.]com
errorreporting[.]net
experience-improvement[.]com
game-wins[.]com
internalsecurity[.]us
lanmangraphics[.]com
retaildemo[.]info
shared-rss[.]info
telemetry-network[.]com
tieringservice[.]com
trust-certificate[.]netC2 IP Addresses:
5.45.70[.]178
45.136.198[.]18
45.136.198[.]184
45.136.198[.]189
46.183.219[.]228
84.32.188[.]23
185.62.56[.]47
185.158.248[.]198
185.167.63[.]42
194.31.55[.]131
212.224.86[.]69
SOC/DFIR Ekiplerinden misiniz? – ANY.RUN ile Kötü Amaçlı Yazılımları ve Kimlik Avını Analiz Edin -> Ücretsiz Deneyin