HATVIBE und CHERRYSPY Malware-Erkennung: Cyber-Spionage-Kampagne durchgeführt von TAG-110 alias UAC-0063, die Organisationen in Asien und Europa ins Visier nimmt
Inhaltsverzeichnis:
Seit fast drei Jahren, seit dem Beginn des vollumfänglichen Kriegs in der Ukraine, haben Cyber-Verteidiger eine zunehmende Anzahl von russlandorientierten offensiven Operationen gemeldet, die auf ukrainische Organisationen abzielen, um Informationen zu sammeln. Angriffe weiten zunehmend ihren geografischen Geltungsbereich aus. Die von Russland unterstützte Hackergruppe, bekannt als TAG-110 oder UAC-0063, wurde hinter einer laufenden Cyber-Spionage-Kampagne gegen Organisationen in Zentralasien, Ostasien und Europa beobachtet. Die Angreifer nutzen die Malware-Tools HATVIBE und CHERRYSPY, um sich hauptsächlich auf staatliche Stellen, Menschenrechtsorganisationen und den Bildungssektor zu fokussieren.
Erkennung von TAG-110 (UAC-0063) Angriffe mit HATVIBE und CHERRYSPY
Die mit Russland verbundene TAG-110-Gruppe ist im Cyber-Bedrohungsumfeld konsequent aktiv geblieben und nutzt die Ukraine als Testgelände für neue Angriffstaktiken und -techniken. Diese verifizierten bösartigen Methoden werden auf globale Ziele angewendet, die für die Moskauer Regierung von Interesse sind. Die Fähigkeit der Gruppe, diverse Angriffswerkzeuge zu testen und verschiedene Infektionsvektoren in den Anfangsphasen eines Angriffs zu nutzen, unterstreicht die Bedeutung proaktiver Verteidigungsstrategien.
SOC Primes Plattform für kollektive Cyberabwehr bietet eine relevante Sammlung von Erkennungsalgorithmen, unterstützt von einem vollständigen Produktsuite für Advanced Threat Detection, Automated Threat Hunting und AI-Powered Detection Engineering, um Organisationen zu helfen, Intrusionen frühzeitig zu erkennen und ihre Cybersecurity-Strategie zu verbessern.
Drücken Sie den Erkundungs-Erkennungen Knopf unten, um einen Erkennungsstapel zu erreichen, der die neuesten TAG-110-Angriffe gegen Asien und Europa mit der Nutzung von HATVIBE und CHERRYSPY-Malware anspricht. Alle Erkennungsalgorithmen sind auf das MITRE ATT&CK®-Frameworkabgebildet, mit handlungsrelevantem CTI und Metadaten angereichert und bereit für die Implementierung in über 30 SIEM-, EDR- und Data-Lake-Lösungen.
Um die Aktivitäten der TAG-110 (auch bekannt als UAC-0063) Gruppe rückblickend zu analysieren und mehr Kontext zu TTPs zu erhalten, die in Angriffen verwendet werden, könnten Cyber-Verteidiger auch Zugriff auf eine spezielle Sammlung von Sigma-Regeln erhalten, indem sie im Threat Detection Marketplace nach dem Tag „UAC-0063,” suchen.
TAG-110 aka UAC-0063 Angriffsanalyse Verbreitung von HATVIBE und CHERRYSPY Malware
Forscher der Insikt Group haben kürzlich die Aktivitätsgruppe TAG-110 aufgedeckt,die seit mindestens 2021 Cyber-Offensivoperationen durchführt. Die Gruppe zeigt Überschneidungen mit UAC-0063, überwacht von der ukrainischen CERT-UA, und ist möglicherweise mit dem APT28-Hacker-Kollektiv (UAC-0001) assoziiert. Letzteres ist direkt mit der Hauptdirektion des Generalstabs der russischen Streitkräfte verbunden.
In der neuesten Kampagne greift TAG-110 hauptsächlich Organisationen in Zentralasien, Ostasien und Europa an. Verteidiger haben 60+ Opfer aus elf Ländern identifiziert, darunter bedeutende Vorfälle in Kasachstan, Kirgistan und Usbekistan. Die Aktivitäten der Gruppe sind wahrscheinlich Teil von Russlands umfassender Strategie, Informationen über geopolitische Ereignisse zu sammeln und Einfluss auf post-sowjetische Regionen auszuüben.
In den laufenden Angriffen setzen die Gegner maßgeschneiderte Malware-Tools ein, die als HATVIBE und CHERRYSPY bezeichnet werden. HATVIBE dient als benutzerdefinierter HTML-Anwendungsloader zur Bereitstellung von CHERRYSPY, einer Python-basierten Hintertür, die für Datendiebstahl und Spionage entwickelt wurde. Der anfängliche Zugang wird typischerweise über einen Phishing-Angriffsvektor oder durch die Ausnutzung von Schwachstellen in webbasierten Diensten wie dem Rejetto HTTP File Server erlangt. HATVIBE erhält Persistenz durch die Verwendung geplanter Aufgaben, die über das mshta.exe-Dienstprogramm ausgeführt werden. Es verwendet Tarnmethoden wie VBScript-Codierung und XOR-Verschlüsselung. Nach der Bereitstellung kommuniziert es mit C2-Servern über HTTP PUT-Anfragen und sendet grundlegende Systeminformationen. CHERRYSPY verbessert HATVIBE, indem es eine sichere Datenexfiltration ermöglicht. Es verwendet starke Verschlüsselungstechniken wie RSA und AES, um mit seinen C2-Servern zu kommunizieren. TAG-110 nutzt CHERRYSPY, um die Systeme der Opfer zu verfolgen und sensible Daten zu extrahieren, wobei der Schwerpunkt hauptsächlich auf Regierungs- und Forschungsorganisationen liegt.
Bemerkenswerterweise experimentierte UAC-0063 Mitte Sommer 2024 mit den gleichen bösartigen Samples und nutzte eine bekannte HFS HTTP File Server-Schwachstelle bei Angriffen auf ukrainische Forschungseinrichtungen. Zuvor, im Mai 2024, zielte die Gruppe auf Organisationen in der Ukraine, Zentral- und Ostasien, Israel und Indien über gefälschte E-Mails ab.
Um TAG-110 und ähnliche Bedrohungen zu mindern, wird Organisationen geraten, Sicherheitslücken rechtzeitig zu patchen, um das Risiko von Exploits zu minimieren, die Multi-Faktor-Authentifizierung und andere zusätzliche Sicherheitsebenen durchzusetzen und das Bewusstsein für Cybersicherheit zu verbessern.
Da von Staaten unterstützte APT-Gruppen weiterhin ausgeklügelte Kampagnen durchführen, um ihre strategischen Ziele zu erreichen und Informationen zu sammeln, ist es für Organisationen weltweit unerlässlich, proaktive Cyber-Verteidigungsmaßnahmen zu stärken. Da TAG-110 voraussichtlich seine Cyber-Spionage-Operationen gegen post-sowjetische zentralasiatische Nationen, die Ukraine und ihre Verbündeten fortsetzen wird, suchen fortschrittliche Organisationen nach zukunftssicheren Lösungen, um sich proaktiv gegen TAG-110 Cyberangriffe zu verteidigen.
Um Organisationen in verschiedenen Branchen vor APT-Angriffen und kritischen Bedrohungen jeder Komplexität zu schützen, kuratiert SOC Prime eine vollständige Produktsuite für KI-gestütztes Detection Engineering, automatisierte Bedrohungsjagd und erweiterte Bedrohungserkennung, die als innovative, unternehmensfertige Lösung zur Stärkung der Verteidigungsmaßnahmen im großen Maßstab dient. SOC Prime kuratiert auch ein Fast Start Threat Hunting and Detection Engineering Angebot mit begrenzter Zeit, das auf MSSP/MDR-Organisationen und Unternehmen zugeschnitten ist.
