به گزارش Recorded Future، یک گروه هکر همسو با روسیه در حال اجرای یک کمپین جاسوسی سایبری در سراسر اروپا و آسیا است.
Insikt Group، تیم اطلاعاتی تهدیدات Recorded Future، در گزارشی در 21 نوامبر به اشتراک گذاشت که گروهی که تحت ،وان TAG-110 ردیابی می کند، از ب،زار سفارشی برای به خطر انداختن نهادهای ،تی، گروه های حقوق بشر و موسسات آموزشی استفاده می کند.
محققان 62 قرب، منحصر به فرد را شناسایی ،د که توسط دو نوع ب،زار TAG-110، HatVibe و CherrySpy، در یازده کشور مورد هدف قرار گرفتند که بیشترین قرب،ان در آسیای مرکزی شناسایی شدند.
ظاهراً این کمپین جدید در جولای 2024 با 62 قرب، منحصر به فرد از ارمنستان، چین، یونان، مجارستان، هند، قزا،تان، قرقیزستان، تاجی،تان، ،منستان، اوکراین و ازب،تان آغاز شد.
ا،ر این موارد در کشورهای آسیای مرکزی (تاجی،تان، قرقیزستان، ،منستان و قزا،تان) بوده و قرب،ان قابل توجه شامل مرکز ملی حقوق بشر جمهوری ازب،تان و KMG-Security، یکی از شرکت های تابعه نفت و شرکت ،تی قزا،تان هستند. شرکت گاز KazMunayGas. یک موسسه آموزشی و پژوهشی تاجی،تان.
گزارش های قبلی نشان داده است که TAG-110، علاوه بر اه، اصلی خود در آسیای مرکزی، اه، ثانویه شامل هند، اسرائیل، مغولستان و اوکراین است.
گروه Insikt معتقد است که انگیزه TAG-110 به دست آوردن اطلاعات برای پیشبرد تلاش های نظامی روسیه در اوکراین و جمع آوری بینش در مورد رویدادهای ژئوپلیتیک در کشورهای همسایه است.
باز ، آ،ین کمپین جاسوسی TAG-110
قرب،ان توسط دو نوع ب،زار اختصاص داده شده به TAG-110، HatVibe و CherrySpy در یازده کشور هدف قرار گرفتند.
HatVibe یک بارکننده برنامه HTML سفارشی (HTA) است که عمدتاً برای گسترش ب،زارهای اضافی مانند CherrySpy در پشتی طراحی شده است، اما می تواند VBScript دلخواه را نیز اجرا کند. HatVibe که به طور بالقوه از طریق اسناد م،ب Word یا با بهره برداری از آسیب پذیری هایی مانند CVE-2024-23692 تحویل داده می شود، از طریق یک کار برنامه ریزی شده که یک فایل HTA را با استفاده از mshta.exe اجرا می کند، پایداری را به دست می آورد. لودر از دو لایه مبهم استفاده می کند: رمزگذاری VBScript و رمزگذاری XOR، که تشخیص و تجزیه و تحلیل را دشوار می کند.
CherrySpy یک درب پشتی مبتنی بر پایتون است که برای جاسوسی استفاده می شود. در کنار مفسر پایتون توسط HatVibe مستقر شده است و در طول وظایف برنامه ریزی شده ثبات را حفظ می کند.
در جدیدترین کمپین خود، CherrySpy در یک فایل ماژول پویای پایتون (.pyd) قرار داده شد تا شناسایی نشود.
از طریق درخواستهای HTTP POST، با استفاده از رمزگذاری RSA و AES برای تبادل کلید و امنیت داده، یک ارتباط امن با سرور فرمان و کنترل خود برقرار میکند. CherrySpy همچنین شامل شناسههای منحصربهفرد، مانند شناسه رمزگذاری شده 24 کاراکتری و چکسوم SHA-256، برای اطمینان از یکپارچگی آن در طول ارتباط است.
این گروه همچنین از ب،زار سفارشی LogPie و StilLarch استفاده می کند.
TAG-110، زیر مجموعه احتمالی APT28
کمپین جدید، که ظاهراً در ژوئیه 2024 آغاز شد، با گزارشهای تاریخی UAC-0063 مطابقت دارد، که تیم واکنش اضطراری رایانهای اوکراین (CERT-UA) برای اولین بار در می 2023 شناسایی کرد و با اطمینان متوسطی به سازمانهای پیشرفته و مستمر تحت حمایت ،ت روسیه نسبت داد. تهدید (APT) کیت BlueDelta (APT28).
CERT-UA نشان داد که UAC-0063 از CherrySpy در اوایل سال 2023 با تمرکز بر آسیای مرکزی استفاده کرده است.
APT28 از لحاظ تاریخی با کمپین های جاسوسی سایبری در سراسر آسیای مرکزی مرتبط بوده است.
گزارش گروه Insikt میگوید: «اگرچه انتساب اعتماد معتدل CERT-UA به BlueDelta در حال حاضر قابل تأیید نیست، فعالیت TAG-110 با منافع استراتژیک BlueDelta در حوزههای امنیت ملی، عملیات نظامی و نفوذ ژئوپلیتیکی همپوش، دارد.
اقدامات کاهش توصیه شده برای آینده را ثبت کنید
محققان انتظار دارند که TAG-110 کمپین های مشابهی را در کوتاه مدت انجام دهد، احتمالاً با تمرکز مداوم بر کشورهای پس از فروپاشی شوروی در آسیای مرکزی در امتداد حاشیه روسیه، و همچنین اوکراین و کشورهای حامی آن.
برای جلوگیری و کاهش TAG-110، Recorded Future موارد زیر را توصیه می کند:
- استفاده از سیستمهای تشخیص نفوذ (IDS)، سیستمهای پیشگیری از نفوذ (IPS) یا هر مک،زم دفاعی شبکه
- از قو،ن Snort، Suricata و YARA برای هشدار در مورد اتصالات شبکه مرتبط با HatVibe و CherrySpy و اسکن عفونت در شبکه خود استفاده کنید.
- از Process Monitor برای نظارت بر وظایف برنامه ریزی شده ایجاد شده از طریق mshta.exe برای شناسایی تلاش های تداوم HatVibe استفاده کنید.
- از وصله سریع نرم افزارهای آسیب پذیر اطمینان حاصل کنید
- از طریق آموزش فعال و واکنشی، آگاهی امنیتی قوی را ارتقا دهید
- به کاربران آموزش دهید تا ایمیلهای فیشینگ را تشخیص دهند و هنگام کلیک ، روی پیوندها یا باز ، پیوستها در ایمیلها مراقب باشند.
- در صورت امکان، احراز هویت چند عاملی (MFA) را فعال کنید
منبع: https://www.infosecurity-magazine.com/news/russian-cyber-spies-hatvibe/