出典: Tanya Rozhnovskaya via Alamy Stock Photo
国家支援の脅威グループが、ロシアの利益を促進するために中央アジアの機関を標的にしています。
Recorded FutureのInsikt Groupは、ロシアに連携する脅威アクターTAG-110がタジキスタンの政府、教育、研究関連の機関に対してスパイ活動を行っていることを詳細に報告しました。ウクライナのサイバー機関CERT-UAは、TAG-110の活動がUAC-0063(中央アジア諸国を標的とするサイバースパイグループ)と重なり、APT28 — 高名なロシアの国家グループ、別名Fancy Bearに関連していると中程度の信頼性で述べています。
TAG-110は数年間追跡されており、重複するグループUAC-0063は2021年から追跡されています。2023年以降、Recorded Futureによれば、TAG-110はHATVIBEとして知られるHTMLアプリケーション(HTA)ファイルベースのマルウェアペイロードを展開していることが観察されています。本日詳細が報告されたキャンペーンは、1月から2月にかけて追跡された無関係なフィッシング活動に関するものです。
“TAG-110は、トロイの木馬化された正当な政府文書の歴史的な使用と一致して、タジキスタン政府をテーマにした文書を誘引材料として利用しましたが、現在のサンプルの信憑性は独立して確認できませんでした,” Recorded Futureの報告は述べています。
防御者にとって、この報告は国家アクターによる洗練されたフィッシング計画と、ウクライナを標的とした破壊的なサイバー攻撃に大きく焦点を当てているにもかかわらず、ロシアのサイバー能力が依然として広範かつ国際的であることを示しています。
関連記事:データ漏洩後、複数のストーカーウェアアプリがオフラインに
TAG-110の最新フィッシングキャンペーン
今年初めに追跡された攻撃では、TAG-110は標的機関にスピアフィッシングメールを送り、タジキスタン軍の放射線安全や首都ドゥシャンベの選挙スケジュールなどのトピックに関する正当な(または少なくとも正当らしい)政府文書を添付しました。
文書自体は毒されたマクロ有効Word文書、.dotmファイルであり、”Wordのスタートアップフォルダに配置されたグローバルテンプレートファイルを利用して持続性を確保します。” これらのファイルは、コマンドアンドコントロールを確立し、最終的にCHERRYSPY(DownExPyer)、LOGPIE、PyPlunderPlugなどのマルウェアファミリーの配信につながる感染チェーンの最初のステップとして機能します。
この最新キャンペーンの注目すべき点は、Insikt Groupの11月の研究がHTAベースのマルウェアHATVIBEで始まる感染経路を説明していたのに対し、新しい持続性の方法は初期段階でマルウェアを完全にスキップすることです。
報告には、妥協の指標と追加の技術的詳細が含まれています。Recorded Futureは、組織がMicrosoft Wordのスタートアップフォルダに作成または変更されたグローバルテンプレートファイルを監視することを推奨しており、「持続的なマクロの悪用を示す可能性がある」とし、また「Microsoft Officeアプリケーションでデフォルトでマクロを無効にし、グループポリシーオブジェクト(GPO)を実装して、明示的に承認されない限りユーザーがそれを有効にするのを防ぐ」ことを推奨しています。
関連記事:3amランサムウェアがメールボンビングとビッシングのコンボ攻撃を採用
ウクライナ以外のロシアのサイバー活動
近年、ロシアの最も顕著なサイバー活動はウクライナを標的にしてきましたが、Recorded FutureのInsikt Groupの脅威インテリジェンスアナリスト(このトピックの性質上匿名を希望)がDark Readingにメールで、「ロシアの脅威アクターグループはウクライナ以外のエンティティを標的にするのを決してやめていない」と述べています。
2022年2月の戦争開始以来、「多くのロシアのAPTグループがウクライナ以外のエンティティを標的にしているのを見てきました — 主にヨーロッパ、アメリカ合衆国、そして中央アジアのロシアの周辺地域で、破壊的およびスパイ目的の両方で」とアナリストは述べています。
広く言えば、Recorded Futureは、タジキスタンの場合のように、ロシアの中央アジア政策が「地域の安全保障、経済、政治の構造の中心に自らを埋め込むことで、ポストソビエトの影響圏を維持することに焦点を当てている」と述べています。
関連記事:Coinbaseの侵害で約70,000人の顧客情報が漏洩
TAG-110の活動はこの政策を支援しており、研究者たちは、関連する「政府省庁、学術および研究機関、外交使節団、特にクレムリンが影響を与えたいと考える選挙、軍事作戦、その他のイベントに関与する機関に対する持続的な作戦を予想しています。」同様の活動は、CERT-UAやセキュリティベンダーBitdefenderなどの組織によって追跡されています。
“この活動の大部分は、ウクライナにおけるロシアの軍事活動を何らかの形で支援することを意図している可能性が非常に高い,” とアナリストはDark Readingに述べ、ヨーロッパ/NATOのウクライナにおける計画を理解することや、ロシアが地政学的な軌道に留めたいと考えるポストソビエト諸国を監視する可能性があるとしています。
最新のDark Reading Confidentialポッドキャストをお見逃しなく、The Day I Found an APT Group in the Most Unlikely Place、ここで脅威ハンターのIsmael ValenzuelaとVitor Venturaが、高度な持続的脅威を追跡するために使用したトリックとその過程で発見した驚きを共有します。今すぐ聞く!
翻訳元: https://www.darkreading.com/threat-intelligence/russian-threat-actor-tag-110-phishing-tajikistan