Rilevamento di Malware HATVIBE e CHERRYSPY: Campagna di Cyber-Spionaggio Condotta da TAG-110 aka UAC-0063 Rivolta a Organizzazioni in Asia ed Europa
Indice:
Per quasi tre anni dall’inizio della guerra su vasta scala in Ucraina , i difensori informatici hanno segnalato un numero crescente di operazioni offensive allineate alla Russia, mirate alle organizzazioni ucraine per raccogliere informazioni, con attacchi che stanno ampliando sempre di più il loro ambito geografico. Il collettivo di hacker supportato dalla Russia, tracciato come TAG-110 o UAC-0063 , è stato osservato dietro una campagna di cyber-spionaggio in corso contro organizzazioni in Asia Centrale, Asia Orientale ed Europa. Gli avversari sfruttano gli strumenti malware HATVIBE e CHERRYSPY per concentrarsi principalmente verso enti statali, organizzazioni per i diritti umani e il settore educativo.
Rilevare gli Attacchi di TAG-110 (UAC-0063) Usando HATVIBE e CHERRYSPY
Il gruppo affiliato alla Russia TAG-110 è rimasto costantemente attivo nel panorama delle minacce informatiche, usando l’Ucraina come banco di prova per nuove tattiche e tecniche di attacco. Questi metodi malevoli verificati sono ulteriormente applicati ai bersagli globali d’interesse per il governo di Mosca. La capacità del gruppo di testare diversi kit di strumenti dell’avversario e utilizzare vari vettori di infezione durante le fasi iniziali di un attacco evidenzia l’importanza delle strategie di difesa proattive.
La piattaforma di SOC Prime per la difesa informatica collettiva offre una raccolta pertinente di algoritmi di rilevamento supportati da una suite completa di prodotti per il Rilevamento Avanzato delle Minacce, la Caccia Automatizzata alle Minacce e l’Ingegneria di Rilevazione Intelligente, aiutando le organizzazioni a rilevare le intrusioni in anticipo e a migliorare la loro postura di cybersecurity.
Premi il Esplora Rilevamenti il pulsante qui sotto per accedere a uno stack di rilevamento che affronta i più recenti attacchi TAG-110 contro Asia ed Europa con l’uso dei malware HATVIBE e CHERRYSPY. Tutti gli algoritmi di rilevamento sono mappati al framework MITRE ATT&CK®, arricchiti con CTI e metadati attuabili, e sono pronti per essere distribuiti in oltre 30 soluzioni SIEM, EDR e Data Lake.
Per analizzare retrospettivamente l’attività del gruppo TAG-110 (alias UAC-0063) e ottenere più contesto sui TTP utilizzati negli attacchi, i difensori informatici possono anche accedere a una raccolta dedicata di regole Sigma cercando il Marketplace di Rilevamento delle Minacce con il tag “UAC-0063”.
Analisi degli Attacchi TAG-110 aka UAC-0063 Diffusione di Malware HATVIBE e CHERRYSPY
I ricercatori del Insikt Group hanno recentemente scoperto il cluster di attività TAG-110, che sta conducendo operazioni offensive informatiche almeno dal 2021. Il gruppo ha mostrato sovrapposizioni con UAC-0063, monitorato dal CERT-UA ucraino, ed è potenzialmente associato al collettivo di hacker APT28 (UAC-0001). Quest’ultimo è direttamente collegato alla Direzione Principale dello Stato Maggiore delle Forze Armate russe.
Nella campagna più recente, TAG-110 attacca principalmente organizzazioni in Asia Centrale, Asia Orientale ed Europa. I difensori hanno identificato oltre 60 vittime da undici paesi, inclusi incidenti significativi in Kazakistan, Kirghizistan e Uzbekistan. Le attività del gruppo sono probabilmente parte di una più ampia strategia della Russia per raccogliere informazioni sugli eventi geopolitici ed esercitare influenza sulle regioni post-sovietiche.
Negli attacchi in corso, gli avversari applicano strumenti malware personalizzati denominati HATVIBE e CHERRYSPY. HATVIBE funge da caricatore di applicazioni HTML personalizzato per consegnare CHERRYSPY, una backdoor basata su Python progettata per il furto di dati e spionaggio. L’accesso iniziale viene solitamente ottenuto attraverso un vettore di attacco phishing o sfruttando vulnerabilità in servizi web pubblici, come il server di file HTTP Rejetto. HATVIBE mantiene la persistenza utilizzando task programmati eseguiti tramite l’utilità mshta.exe. Impiega metodi di offuscamento come la codifica VBScript e la crittografia XOR. Dopo il dispiegamento, comunica con i server C2 tramite richieste HTTP PUT, inviando informazioni di sistema essenziali. CHERRYSPY migliora HATVIBE facilitando l’esfiltrazione sicura dei dati. Impiega potenti tecniche di crittografia, come RSA e AES, per comunicare con i suoi server C2. TAG-110 utilizza CHERRYSPY per monitorare i sistemi delle vittime ed estrarre dati sensibili, prendendo di mira principalmente organizzazioni governative e di ricerca.
Da notare che a metà estate del 2024, UAC-0063 stava sperimentando gli stessi campioni malevoli e ha armato una vulnerabilità nota del server di file HTTP HFS negli attacchi contro gli istituti di ricerca ucraini. In precedenza, nel maggio 2024, il gruppo ha preso di mira organizzazioni in Ucraina, Asia Centrale e Orientale, Israele e India attraverso email falsificate.
Per mitigare TAG-110 e minacce simili, si consiglia alle organizzazioni di applicare tempestivamente le patch alle vulnerabilità per ridurre i rischi di exploit, imporre l’autenticazione multi-fattore e altri ulteriori livelli di protezione della sicurezza, e migliorare la consapevolezza della cybersecurity.
Poiché i gruppi APT supportati dalle nazioni continuano a condurre campagne sofisticate per raggiungere i loro obiettivi strategici e raccogliere informazioni, rafforzare misure di difesa informatica proattive è imperativo per le organizzazioni di tutto il mondo. Con TAG-110 probabilmente deciso a mantenere le sue operazioni di cyber-spionaggio contro le nazioni della regione post-sovietica dell’Asia Centrale, l’Ucraina e i suoi alleati, le organizzazioni progressive cercano soluzioni a prova di futuro per difendersi proattivamente dagli attacchi informatici di TAG-110.
Per aiutare a proteggere le organizzazioni attraverso molteplici settori dall’attacco APT e dalle minacce critiche di qualsiasi livello di sofisticazione, SOC Prime cura una suite completa di prodotti per l’ingegneria di rilevazione con intelligenza artificiale, la caccia automatizzata alle minacce e il rilevamento avanzato delle minacce, agendo come una soluzione di punta pronto per le imprese per rafforzare le difese su larga scala. SOC Prime cura anche un offerta a tempo limitato Fast Start per la Caccia alle Minacce e l’Ingegneria di Rilevazione su misura per le organizzazioni MSSP/MDR e le imprese.
