Detección de Malware HATVIBE y CHERRYSPY: Campaña de Ciberespionaje Conducida por TAG-110 aka UAC-0063 Dirigida a Organizaciones en Asia y Europa
Tabla de contenidos:
Durante casi tres años desde que la guerra a gran escala en Ucrania comenzó, los defensores cibernéticos han informado de un número creciente de operaciones ofensivas alineadas con Rusia dirigidas a organizaciones ucranianas para recopilar inteligencia, con ataques que amplían cada vez más su alcance geográfico. El colectivo de hackers respaldado por Rusia rastreado como TAG-110 o UAC-0063 ha sido observado detrás de una campaña de ciberespionaje en curso contra organizaciones en Asia Central, Asia Oriental y Europa. Los adversarios aprovechan las herramientas de malware HATVIBE y CHERRYSPY para centrarse principalmente en atacar organismos estatales, organizaciones de derechos humanos y el sector educativo.
Detección de ataques TAG-110 (UAC-0063) que aprovechan HATVIBE y CHERRYSPY
El grupo TAG-110 afiliado a Rusia ha permanecido constantemente activo en el panorama de amenazas cibernéticas, utilizando Ucrania como campo de pruebas para nuevas tácticas y técnicas de ataque. Estos métodos maliciosos verificados se aplican además a objetivos globales de interés para el gobierno de Moscú. La capacidad del grupo para probar diversos kits de herramientas adversarias y utilizar varios vectores de infección durante las etapas iniciales de un ataque destaca la importancia de las estrategias de defensa proactiva.
La plataforma de SOC Prime para defensa cibernética colectiva ofrece una colección relevante de algoritmos de detección respaldados por una suite completa de productos para Detección de Amenazas Avanzada, Caza de Amenazas Automatizada e Ingeniería de Detección impulsada por IA, ayudando a las organizaciones a detectar intrusiones temprano y mejorar su postura de ciberseguridad.
Pulse el Explorar Detecciones botón a continuación para acceder a un stack de detección que aborda los últimos ataques de TAG-110 contra Asia y Europa con el uso de malware HATVIBE y CHERRYSPY. Todos los algoritmos de detección están mapeados al marco MITRE ATT&CK®, enriquecido con CTI procesable y metadatos, y están listos para desplegarse en más de 30 soluciones SIEM, EDR y Data Lake.
Para analizar retrospectivamente la actividad del grupo TAG-110 (también conocido como UAC-0063) y obtener más contexto sobre las TTP utilizadas en los ataques, los defensores cibernéticos también pueden acceder a una colección dedicada de reglas Sigma buscando en el Mercado de Detección de Amenazas con la etiqueta “UAC-0063”.
Análisis de Ataques de TAG-110 aka UAC-0063 Propagando Malware HATVIBE y CHERRYSPY
Investigadores del Grupo Insikt recientemente descubrieron el clúster de actividad TAG-110, que ha estado llevando a cabo operaciones cibernéticas ofensivas desde al menos 2021. El grupo ha mostrado solapamiento con UAC-0063, monitoreado por la CERT-UA de Ucrania, y está potencialmente asociado con el colectivo de hackers APT28 (UAC-0001). Este último está vinculado directamente a la Dirección Principal del Estado Mayor de las Fuerzas Armadas de Rusia.
En la última campaña, TAG-110 ataca principalmente a organizaciones en Asia Central, Asia Oriental y Europa. Los defensores han identificado más de 60 víctimas de once países, incluyendo incidentes significativos en Kazajistán, Kirguistán y Uzbekistán. Las actividades del grupo son probablemente parte de la estrategia más amplia de Rusia para recopilar inteligencia sobre eventos geopolíticos y ejercer influencia en regiones postsoviéticas.
En los ataques en curso, los adversarios aplican herramientas de malware personalizadas denominadas HATVIBE y CHERRYSPY. HATVIBE funciona como un cargador de aplicaciones HTML personalizado para entregar CHERRYSPY, un backdoor basado en Python diseñado para el robo de datos y el espionaje. El acceso inicial se obtiene típicamente a través de un vector de ataque de phishing o explotando vulnerabilidades en servicios web como el Rejetto HTTP File Server. HATVIBE mantiene persistencia utilizando tareas programadas ejecutadas a través de la utilidad mshta.exe. Emplea métodos de ofuscación como la codificación VBScript y el cifrado XOR. Después del despliegue, se comunica con servidores C2 a través de solicitudes HTTP PUT, enviando información esencial del sistema. CHERRYSPY mejora HATVIBE facilitando la exfiltración segura de datos. Emplea técnicas de cifrado fuerte, como RSA y AES, para comunicarse con sus servidores C2. TAG-110 utiliza CHERRYSPY para rastrear los sistemas de las víctimas y extraer datos sensibles, apuntando principalmente a organizaciones gubernamentales y de investigación.
Notablemente, a mediados del verano de 2024, UAC-0063 estaba experimentando con las mismas muestras maliciosas y armó una conocida vulnerabilidad del HFS HTTP File Server en ataques contra instituciones de investigación ucranianas. Anteriormente, en mayo de 2024, el grupo apuntó a organizaciones en Ucrania, Asia Central y Oriental, Israel e India a través de correos electrónicos falsificados.
Para mitigar TAG-110 y amenazas similares, se aconseja a las organizaciones corregir a tiempo los fallos de seguridad para minimizar los riesgos de explotación, implementar la autenticación multifactorial y otras capas de protección de seguridad adicionales, y mejorar la conciencia de ciberseguridad.
A medida que los grupos de APT respaldados por naciones continúan llevando a cabo campañas sofisticadas para lograr sus objetivos estratégicos y recopilar inteligencia, fortalecer las medidas proactivas de defensa cibernética es imperativo para las organizaciones en todo el mundo. Con TAG-110 probablemente manteniendo sus operaciones de ciberespionaje contra las naciones centroasiáticas postsoviéticas, Ucrania y sus aliados, las organizaciones progresistas están buscando soluciones futuristas para defenderse proactivamente contra los ciberataques de TAG-110.
Para ayudar a proteger a organizaciones de múltiples verticales industriales de ataques APT y amenazas críticas de cualquier sofisticación, SOC Prime cura una suite completa de productos para ingeniería de detección impulsada por IA, caza de amenazas automatizada y detección avanzada de amenazas que actúa como una solución empresarial de vanguardia lista para fortalecer las defensas a escala. SOC Prime también cura una oferta limitada de Inicio Rápido para Caza de Amenazas e Ingeniería de Detección adaptada para organizaciones MSSP/MDR y empresas.
