Détection des logiciels malveillants HATVIBE et CHERRYSPY : Campagne de cyber-espionnage menée par TAG-110 alias UAC-0063 ciblant des organisations en Asie et en Europe
Table des matières :
Depuis presque trois ans depuis le déclenchement de la guerre à grande échelle en Ukraine , les cyber défenseurs ont signalé un nombre croissant d’opérations offensives alignées sur la Russie visant les organisations ukrainiennes pour collecter des renseignements, avec des attaques élargissant de plus en plus leur portée géographique. Le collectif de piratage soutenu par la Russie suivi sous le nom de TAG-110 ou UAC-0063 a été observé derrière une campagne de cyberespionnage en cours contre des organisations en Asie centrale, en Asie de l’Est et en Europe. Les adversaires utilisent les outils malveillants HATVIBE et CHERRYSPY pour principalement cibler les organes étatiques, les organisations de défense des droits humains et le secteur éducatif.
Détecter les attaques de TAG-110 (UAC-0063) utilisant HATVIBE et CHERRYSPY
Le groupe TAG-110 affilié à la Russie est resté constamment actif dans le paysage des menaces cybernétiques, utilisant l’Ukraine comme terrain d’essai pour de nouvelles tactiques et techniques d’attaque. Ces méthodes malveillantes vérifiées sont ensuite appliquées aux cibles mondiales d’intérêt pour le gouvernement de Moscou. La capacité du groupe à tester divers outils adverses et à utiliser divers vecteurs d’infection lors des premières étapes d’une attaque souligne l’importance des stratégies de défense proactive.
La plateforme de SOC Prime pour la cyberdéfense collective propose une collection pertinente d’algorithmes de détection soutenus par une suite de produits complète pour la Détection avancée des menaces, la Recherche automatisée des menaces et l’ingénierie de détection pilotée par l’IA, aidant les organisations à détecter les intrusions tôt et à renforcer leur posture de cybersécurité.
Cliquez sur le bouton Explorer les détections ci-dessous pour accéder à une pile de détection traitant des dernières attaques TAG-110 contre l’Asie et l’Europe avec l’utilisation des logiciels malveillants HATVIBE et CHERRYSPY. Tous les algorithmes de détection sont mappés au cadre MITRE ATT&CK®, enrichis avec des CTI exploitables et des métadonnées, et sont prêts à être déployés dans plus de 30 solutions SIEM, EDR et Data Lake.
Pour analyser rétrospectivement l’activité du groupe TAG-110 (alias UAC-0063) et obtenir plus de contexte sur les TTP utilisés dans les attaques, les cyber défenseurs peuvent également accéder à une collection dédiée de règles Sigma en recherchant Threat Detection Marketplace avec le tag “UAC-0063”.
Analyse des attaques de TAG-110 alias UAC-0063 propageant les logiciels malveillants HATVIBE et CHERRYSPY
Des chercheurs du groupe Insikt ont récemment découvert le cluster d’activité TAG-110, qui mène des opérations cyber offensives depuis au moins 2021. Le groupe a montré un chevauchement avec UAC-0063, surveillé par le CERT-UA d’Ukraine, et est potentiellement associé au collectif de hackers APT28 (UAC-0001). Ce dernier est directement lié à la Direction principale de l’état-major des forces armées de Russie.
Dans la dernière campagne, TAG-110 attaque principalement des organisations en Asie centrale, en Asie de l’Est et en Europe. Les défenseurs ont identifié plus de 60 victimes dans onze pays, y compris des incidents significatifs au Kazakhstan, au Kirghizstan et en Ouzbékistan. Les activités du groupe font probablement partie d’une stratégie plus large de la Russie pour collecter des renseignements sur des événements géopolitiques et exercer une influence sur les régions post-soviétiques.
Dans les attaques en cours, les adversaires appliquent des outils malveillants personnalisés appelés HATVIBE et CHERRYSPY. HATVIBE sert de chargeur d’application HTML personnalisé pour délivrer CHERRYSPY, une porte dérobée basée sur Python conçue pour le vol de données et l’espionnage. L’accès initial est généralement obtenu via un vecteur d’attaque de phishing ou en exploitant des vulnérabilités dans des services orientés web tels que le serveur de fichiers HTTP Rejetto. HATVIBE maintient la persistance en utilisant des tâches planifiées exécutées via l’utilitaire mshta.exe. Il utilise des méthodes d’obfuscation telles que l’encodage VBScript et le chiffrement XOR. Après le déploiement, il communique avec des serveurs C2 via des requêtes HTTP PUT, envoyant des informations système essentielles. CHERRYSPY améliore HATVIBE en facilitant l’exfiltration sécurisée de données. Il utilise des techniques de cryptage fortes, telles que RSA et AES, pour communiquer avec ses serveurs C2. TAG-110 utilise CHERRYSPY pour suivre les systèmes des victimes et extraire des données sensibles, ciblant principalement les organisations gouvernementales et de recherche.
Notamment, à la mi-été 2024, UAC-0063 expérimentait les mêmes échantillons malveillants et a exploité une vulnérabilité du serveur de fichiers HTTP HFS dans des attaques contre des institutions de recherche ukrainiennes. Plus tôt, en mai 2024, le groupe a ciblé des organisations en Ukraine, en Asie centrale et de l’Est, en Israël et en Inde via des e-mails usurpés.
Pour atténuer les menaces de TAG-110 et similaires, il est conseillé aux organisations de corriger en temps voulu les failles de sécurité pour minimiser les risques d’exploitation, de renforcer l’authentification multi-facteurs et d’autres couches supplémentaires de protection de sécurité, et d’améliorer la sensibilisation à la cybersécurité.
Alors que les groupes APT soutenus par des États continuent de mener des campagnes sophistiquées pour atteindre leurs objectifs stratégiques et collecter des renseignements, renforcer les mesures de défense cybernétique proactive est impératif pour les organisations du monde entier. Avec TAG-110 susceptible de maintenir ses opérations de cyberespionnage contre les nations d’Asie centrale post-soviétiques, l’Ukraine et ses alliés, les organisations progressistes recherchent des solutions pérennes pour se défendre de manière proactive contre les cyberattaques de TAG-110.
Pour aider à protéger les organisations de divers secteurs industriels contre les attaques APT et les menaces critiques de toute sophistication, SOC Prime propose une suite complète de produits pour l’ingénierie de détection pilotée par l’IA, la recherche automatisée de menaces et la détection avancée des menaces agissant comme une solution prête pour l’entreprise pour renforcer les défenses à grande échelle. SOC Prime propose également une offre limitée de démarrage rapide pour la recherche de menaces et l’ingénierie de détection adaptée aux organisations MSSP/MDR et aux entreprises.
