جاسوسان سایبری روسیه سازمان ها را با بدافزارهای سفارشی هدف قرار می دهند

جاسوسان سایبری روسیه سازمان ها را با بدافزارهای سفارشی هدف قرار می دهند

به گزارش Recorded Future، یک گروه هکر همسو با روسیه در حال اجرای یک کمپین جاسوسی سایبری در سراسر اروپا و آسیا است.

Insikt Group، تیم اطلاعاتی تهدیدات Recorded Future، در گزارشی در 21 نوامبر به اشتراک گذاشت که گروهی که تحت ،وان TAG-110 ردیابی می کند، از ب،زار سفارشی برای به خطر انداختن نهادهای ،تی، گروه های حقوق بشر و موسسات آموزشی استفاده می کند.

محققان 62 قرب، منحصر به فرد را شناسایی ،د که توسط دو نوع ب،زار TAG-110، HatVibe و CherrySpy، در یازده کشور مورد هدف قرار گرفتند که بیشترین قرب،ان در آسیای مرکزی شناسایی شدند.

ظاهراً این کمپین جدید در جولای 2024 با 62 قرب، منحصر به فرد از ارمنستان، چین، یونان، مجارستان، هند، قزا،تان، قرقیزستان، تاجی،تان، ،منستان، اوکراین و ازب،تان آغاز شد.

ا،ر این موارد در کشورهای آسیای مرکزی (تاجی،تان، قرقیزستان، ،منستان و قزا،تان) بوده و قرب،ان قابل توجه شامل مرکز ملی حقوق بشر جمهوری ازب،تان و KMG-Security، یکی از شرکت های تابعه نفت و شرکت ،تی قزا،تان هستند. شرکت گاز KazMunayGas. یک موسسه آموزشی و پژوهشی تاجی،تان.

گزارش های قبلی نشان داده است که TAG-110، علاوه بر اه، اصلی خود در آسیای مرکزی، اه، ثانویه شامل هند، اسرائیل، مغولستان و اوکراین است.

گروه Insikt معتقد است که انگیزه TAG-110 به دست آوردن اطلاعات برای پیشبرد تلاش های نظامی روسیه در اوکراین و جمع آوری بینش در مورد رویدادهای ژئوپلیتیک در کشورهای همسایه است.

باز ، آ،ین کمپین جاسوسی TAG-110

قرب،ان توسط دو نوع ب،زار اختصاص داده شده به TAG-110، HatVibe و CherrySpy در یازده کشور هدف قرار گرفتند.

HatVibe یک بارکننده برنامه HTML سفارشی (HTA) است که عمدتاً برای گسترش ب،زارهای اضافی مانند CherrySpy در پشتی طراحی شده است، اما می تواند VBScript دلخواه را نیز اجرا کند. HatVibe که به طور بالقوه از طریق اسناد م،ب Word یا با بهره برداری از آسیب پذیری هایی مانند CVE-2024-23692 تحویل داده می شود، از طریق یک کار برنامه ریزی شده که یک فایل HTA را با استفاده از mshta.exe اجرا می کند، پایداری را به دست می آورد. لودر از دو لایه مبهم استفاده می کند: رمزگذاری VBScript و رمزگذاری XOR، که تشخیص و تجزیه و تحلیل را دشوار می کند.

CherrySpy یک درب پشتی مبتنی بر پایتون است که برای جاسوسی استفاده می شود. در کنار مفسر پایتون توسط HatVibe مستقر شده است و در طول وظایف برنامه ریزی شده ثبات را حفظ می کند.

در جدیدترین کمپین خود، CherrySpy در یک فایل ماژول پویای پایتون (.pyd) قرار داده شد تا شناسایی نشود.

از طریق درخواست‌های HTTP POST، با استفاده از رمزگذاری RSA و AES برای تبادل کلید و امنیت داده، یک ارتباط امن با سرور فرمان و کنترل خود برقرار می‌کند. CherrySpy همچنین شامل شناسه‌های منحصربه‌فرد، مانند شناسه رمزگذاری شده 24 کاراکتری و چک‌سوم SHA-256، برای اطمینان از یکپارچگی آن در طول ارتباط است.

این گروه همچنین از ب،زار سفارشی LogPie و StilLarch استفاده می کند.

TAG-110، زیر مجموعه احتمالی APT28

کمپین جدید، که ظاهراً در ژوئیه 2024 آغاز شد، با گزارش‌های تاریخی UAC-0063 مطابقت دارد، که تیم واکنش اضطراری رایانه‌ای اوکراین (CERT-UA) برای اولین بار در می 2023 شناسایی کرد و با اطمینان متوسطی به سازمان‌های پیشرفته و مستمر تحت حمایت ،ت روسیه نسبت داد. تهدید (APT) کیت BlueDelta (APT28).

CERT-UA نشان داد که UAC-0063 از CherrySpy در اوایل سال 2023 با تمرکز بر آسیای مرکزی استفاده کرده است.

APT28 از لحاظ تاریخی با کمپین های جاسوسی سایبری در سراسر آسیای مرکزی مرتبط بوده است.

گزارش گروه Insikt می‌گوید: «اگرچه انتساب اعتماد معتدل CERT-UA به BlueDelta در حال حاضر قابل تأیید نیست، فعالیت TAG-110 با منافع استراتژیک BlueDelta در حوزه‌های امنیت ملی، عملیات نظامی و نفوذ ژئوپلیتیکی همپوش، دارد.

اقدامات کاهش توصیه شده برای آینده را ثبت کنید

محققان انتظار دارند که TAG-110 کمپین های مشابهی را در کوتاه مدت انجام دهد، احتمالاً با تمرکز مداوم بر کشورهای پس از فروپاشی شوروی در آسیای مرکزی در امتداد حاشیه روسیه، و همچنین اوکراین و کشورهای حامی آن.

برای جلوگیری و کاهش TAG-110، Recorded Future موارد زیر را توصیه می کند:

  • استفاده از سیستم‌های تشخیص نفوذ (IDS)، سیستم‌های پیشگیری از نفوذ (IPS) یا هر مک،زم دفاعی شبکه
  • از قو،ن Snort، Suricata و YARA برای هشدار در مورد اتصالات شبکه مرتبط با HatVibe و CherrySpy و اسکن عفونت در شبکه خود استفاده کنید.
  • از Process Monitor برای نظارت بر وظایف برنامه ریزی شده ایجاد شده از طریق mshta.exe برای شناسایی تلاش های تداوم HatVibe استفاده کنید.
  • از وصله سریع نرم افزارهای آسیب پذیر اطمینان حاصل کنید
  • از طریق آموزش فعال و واکنشی، آگاهی امنیتی قوی را ارتقا دهید
  • به کاربران آموزش دهید تا ایمیل‌های فیشینگ را تشخیص دهند و هنگام کلیک ، روی پیوندها یا باز ، پیوست‌ها در ایمیل‌ها مراقب باشند.
  • در صورت امکان، احراز هویت چند عاملی (MFA) را فعال کنید

منبع: https://www.infosecurity-magazine.com/news/russian-cyber-spies-hatvibe/