HATVIBEおよびCHERRYSPYマルウェア検出：TAG-110 aka UAC-0063によるアジアおよびヨーロッパの組織を標的としたサイバースパイキャンペーン

ウクライナでの 本格的な戦争が始まってからの約3年間、 サイバー防衛者は、ウクライナの組織を対象にしたロシアに関連する攻撃的な作戦の増加を報告しており、その範囲は地理的にも拡大しています。TAG-110または UAC-0063 として追跡されるロシア支援のハッカー集団は、中央アジア、東アジア、ヨーロッパの組織に対する継続的なサイバースパイ活動の背後にいると観察されています。敵対者は国家機関、人権組織、教育部門を主に標的とするために、HATVIBEおよびCHERRYSPYマルウェアツールを活用しています。

HATVIBEおよびCHERRYSPYを活用したTAG-110 (UAC-0063) 攻撃の検出

ロシアに関連するTAG-110グループは、ウクライナを新しい攻撃手法のテスト場に使用し続け、サイバー脅威の風景で一貫して活発に活動しています。これらの確認された悪意のある手法は、モスクワ政府にとって興味のある世界中の対象にさらに適用されています。グループが多様な敵対ツールキットをテストし、攻撃の初期段階でさまざまな感染経路を利用する能力は、積極的な防御戦略の重要性を強調しています。 

SNS Primeの集団サイバー防衛プラットフォームは、高度な脅威検出、自動化された脅威ハンティング、AI駆動の検出エンジニアリングの完全な製品スイートを備えた関連する検出アルゴリズムのコレクションを提供し、組織が侵入を早期に検出し、サイバーセキュリティの態勢を強化するのを助けます。

以下の Explore Detections ボタンをクリックすると、HATVIBEおよびCHERRYSPYマルウェアを使用したアジアとヨーロッパに対する最新のTAG-110攻撃に対応する検出スタックにアクセスできます。すべての検出アルゴリズムは MITRE ATT&CK®フレームワークにマッピングされ、実行可能なCTIとメタデータで強化され、30を超えるSIEM、EDR、およびデータレイクソリューションに展開する準備が整っています。 

Explore Detections

TAG-110（別名UAC-0063）グループアクティビティを遡及的に分析し、攻撃で使用されるTTPに関するより多くのコンテキストを得るために、サイバー防衛者は「UAC-0063」タグを使用してThreat Detection Marketplaceを検索することで、専用のSigmaルールのコレクションにアクセスすることもできます。

HATVIBEとCHERRYSPYマルウェアの拡散を分析するTAG-110またはUAC-0063攻撃

Insikt Groupの研究者は最近、活動クラスタTAG-110を 発見したところ、このグループは少なくとも2021年からサイバー攻撃的な作戦を続けています。このグループは、ウクライナのCERT-UAによって監視されているUAC-0063と重なっており、 APT28ハッカー集団（UAC-0001)とも潜在的に関連しています。後者は、ロシア連邦軍の総参謀本部の主指令部に直接結びついています。

最新のキャンペーンでは、TAG-110は主に中央アジア、東アジア、ヨーロッパの組織を攻撃しています。防衛者は、カザフスタン、キルギス、ウズベキスタンの大規模な事件を含む11か国から60以上の被害者を特定しました。このグループの活動は、ロシアの地政学的イベントに関する情報収集およびソ連後の地域への影響力の行使の一環である可能性が高いです。

進行中の攻撃では、敵対者はHATVIBEおよびCHERRYSPYと呼ばれるカスタムマルウェアツールを適用しています。HATVIBEは、CHERRYSPYを配信するためのカスタムHTMLアプリケーションローダーとして機能し、データ盗難とスパイ活動を目的とするPythonベースのバックドアです。最初のアクセスは典型的にはフィッシング攻撃経路またはRejetto HTTPファイルサーバーなどのWeb公開サービスの脆弱性を利用することで得られます。HATVIBEは、mshta.exeユーティリティを使用してスケジュールされたタスクを実行することで持続性を維持します。VBScriptエンコードやXOR暗号化などの難読化方法を使用しています。展開後には、HTTP PUTリクエストを通じてC2サーバと通信し、基本的なシステム情報を送信します。CHERRYSPYは強力な暗号化技術（RSAやAESなど）を使用してHATVIBEを補完し、そのC2サーバーと通信します。TAG-110は、政府および研究の組織を主に対象とし、システムを追跡して機密データを抽出しています。

特に、2024年夏半ばにUAC-0063は同じ悪意のあるサンプルを実験しており、既知の HFS HTTPファイルサーバーの脆弱性 をウクライナの研究機関に対する攻撃で武器化していました。以前、2024年5月に グループはウクライナ、中央および東アジア、イスラエル、インドの組織を標的にして 偽装されたメールを通じて攻撃しました。 

TAG-110や同様の脅威を軽減するために、組織はセキュリティ欠陥をタイムリーにパッチしてエクスプロイトのリスクを最小限に抑え、多要素認証と他の保護層を強制し、サイバーセキュリティ意識を改善することが推奨されます。

国家に支援されたAPTグループがその戦略的な目標を達成し、情報を収集するために高度なキャンペーンを継続する中で、積極的なサイバー防御策を強化することが世界の組織にとって不可欠です。TAG-110がソビエト後の中央アジア諸国、ウクライナ、そしてその同盟国に対するサイバースパイ活動を維持する可能性がある中で、進歩的な組織はTAG-110のサイバー攻撃に対して積極的に防御するための未来対応のソリューションを模索しています。 

さまざまな産業の垂直市場でAPT攻撃と任意の洗練度の重大な脅威から組織を保護するために、SOC Primeは AI駆動の検出エンジニアリング、自動化された脅威ハンティング、高度な脅威検出用の完全な製品スイート をキュレートし、規模で防御を強化するための最先端でエンタープライズ対応のソリューションとして機能します。また、SOC Primeは MSSP/MDR組織と企業向けに調整された期間限定の オファーもキュレートしています。