El grupo de amenazas TAG-110, alineado con Rusia, continúa realizando ciberespionaje dirigido a organizaciones en Asia Central, Asia Oriental y Europa.
El grupo se dirige principalmente a agencias gubernamentales, organizaciones de derechos humanos e instituciones educativas que utilizan malware personalizado como HATVIBE y CHERRYSPY.
Además, las actividades del TAG-110 pueden formar parte de una estrategia rusa más amplia para mantener la influencia en los estados postsoviéticos y obtener inteligencia sobre los acontecimientos geopolíticos.
Aprovechamiento de los resultados de MITRE ATT&CK de 2024 para líderes en ciberseguridad de pymes y MSP: únase al seminario web gratuito
Según Insikt Group de Recorded Future, en julio de 2024, había 62 víctimas confirmadas en 11 países, con incidentes notables en Kirguistán, Uzbekistán y Kazajstán.
Orientación por países del TAG-110 (Fuente: Futuro registrado)
Descripción general del grupo de amenazas TAG-110
TAG-110 es un grupo de actividad de amenazas que comparte similitudes con el grupo UAC-0063, conocido públicamente, que CERT-UA ha asociado con BlueDelta (APT28) con “confianza media”. Al menos desde 2021, el TAG-110 lleva a cabo actividades de espionaje en consonancia con los intereses nacionales de Rusia.
Según fuentes de inteligencia anteriores, el TAG-110 apunta principalmente a organizaciones en Asia Central, con objetivos también en Israel, Ucrania y Mongolia.
TAG-110 se dirige a personas que utilizan familias de malware personalizadas como HATVIBE y CHERRYSPY. Los investigadores dicen que el grupo de amenazas TAG-110 tiene similitudes con UAC-0063. Está vinculado con confianza media al grupo ruso APT BlueDelta (APT28).
abeja paloma
TAG-110 ha estado utilizando HATVIBE, un cargador de aplicaciones HTML personalizado (HTA), desde al menos abril de 2023. El objetivo principal de HATVIBE es cargar más malware como la puerta trasera CHERRYSPY.
Se distribuye a través de archivos adjuntos de correo electrónico maliciosos o explotando vulnerabilidades web como CVE-2024-23692.
La utilidad mshta.exe se utiliza para realizar operaciones programadas que proporcionan persistencia. Los métodos de ofuscación utilizados por HATVIBE incluyen cifrado XOR y codificación VBScript.
Una vez implementado, utiliza solicitudes HTTP PUT para comunicarse con el servidor de comando y control (C2) y proporcionar información crítica del sistema.
espía cereza
Al menos desde abril de 2023, TAG-110 ha estado utilizando una puerta trasera Python personalizada, CHERRYSPY, con fines de espionaje.
Resulta que HATVIBE descarga CHERRYSPY y lo inicia usando el intérprete de Python. Comuníquese con servidores C2 utilizando técnicas de cifrado sólidas como RSA y Advanced Encryption Standard (AES).
TAG-110 frecuentemente apunta a agencias gubernamentales e instituciones de investigación, utilizando CHERRYSPY para monitorear los sistemas de las víctimas y obtener datos personales.
Utilice herramientas de defensa de red, sistemas de detección de intrusiones y sistemas de prevención de intrusiones para encontrar dominios maliciosos e IP conectados al TAG-110. Detecta actividad vinculada a HATVIBE y CHERRYSPY usando las reglas Snort, Suricata y YARA. Para evitar explotar vulnerabilidades conocidas como CVE-2024-23692, asegúrese de que las actualizaciones de software se realicen a tiempo. Eduque a sus empleados sobre cómo identificar intentos de phishing e implementar la autenticación multifactor.
Señales de compromiso
Dominio C2:
Registro dm(.)com
informe de error(.)neto
mejora de la experiencia(.)com
victoria del juego(.)com
seguridad interna(.)nosotros
Gráficos Ranman(.)com
Información de demostración minorista(.)
Compartir información RSS(.)
red de telemetría(.)com
servicio de desgarro(.)com
certificado de confianza(.)neto
Dirección IP C2:
5.45.70(.)178
45.136.198(.)18
45.136.198(.)184
45.136.198(.)189
46.183.219(.)228
84.32.188(.)23
185.62.56(.)47
185.158.248(.)198
185.167.63(.)42
194.31.55(.)131
212.224.86(.)69
¿Es miembro del equipo SOC/DFIR? Analice el malware y el phishing con ANY.RUN -> Pruébelo gratis.
