Detecção de Malware HATVIBE e CHERRYSPY: Campanha de Ciberespionagem Conduzida pelo TAG-110 também conhecido como UAC-0063 Alvejando Organizações na Ásia e Europa

[post-views]
Novembro 29, 2024 · 5 min de leitura
Detecção de Malware HATVIBE e CHERRYSPY: Campanha de Ciberespionagem Conduzida pelo TAG-110 também conhecido como UAC-0063 Alvejando Organizações na Ásia e Europa

Por quase três anos desde a guerra em larga escala na Ucrânia começou, os defensores cibernéticos relataram um número crescente de operações ofensivas alinhadas à Rússia visando organizações ucranianas para coletar inteligência, com ataques expandindo cada vez mais seu escopo geográfico. O coletivo de hackers apoiado pela Rússia rastreado como TAG-110 ou UAC-0063 foi observado por trás de uma campanha contínua de ciberespionagem contra organizações na Ásia Central, Leste Asiático e Europa. Os adversários utilizam as ferramentas de malware HATVIBE e CHERRYSPY para se concentrar principalmente em órgãos estatais, organizações de direitos humanos e o setor educacional.

Detectando Ataques da TAG-110 (UAC-0063) Utilizando HATVIBE e CHERRYSPY

O grupo TAG-110, afiliado à Rússia, tem se mantido consistentemente ativo no cenário de ameaças cibernéticas, usando a Ucrânia como campo de testes para novas táticas e técnicas de ataque. Esses métodos maliciosos verificados são aplicados ainda a alvos internacionais de interesse do governo de Moscou. A capacidade do grupo de testar diversos conjuntos de ferramentas adversárias e utilizar várias vetores de infecção durante estágios iniciais de um ataque destaca a importância de estratégias de defesa proativas. 

A Plataforma da SOC Prime para defesa cibernética coletiva oferece uma coleção relevante de algoritmos de detecção apoiados por um conjunto completo de produtos para Detecção Avançada de Ameaças, Caça Automática de Ameaças e Engenharia de Detecção com IA, ajudando as organizações a detectar intrusões precocemente e melhorar sua postura de cibersegurança.

Pressione o botão Explorar Detecções abaixo para acessar uma pilha de detecção que aborda os últimos ataques TAG-110 contra a Ásia e a Europa com o uso dos malwares HATVIBE e CHERRYSPY. Todos os algoritmos de detecção são mapeados para o framework MITRE ATT&CK®, enriquecido com CTI acionável e metadados, e estão prontos para serem implantados em mais de 30 soluções SIEM, EDR e Data Lake. 

Explorar Detecções

Para analisar retrospectivamente a atividade do grupo TAG-110 (também conhecido como UAC-0063) e obter mais contexto sobre os TTPs usados nos ataques, os defensores cibernéticos também podem acessar uma coleção dedicada de regras Sigma pesquisando no Marketplace de Detecção de Ameaças com a tag “UAC-0063”.

Análise de Ataque TAG-110, também conhecido como UAC-0063, Espalhando os Malwares HATVIBE e CHERRYSPY

Pesquisadores do Insikt Group recentemente descobriram o cluster de atividade TAG-110, que tem conduzido operações ciberofensivas desde, no mínimo, 2021. O grupo mostrou sobreposição com o UAC-0063, monitorado pelo CERT-UA da Ucrânia, e é potencialmente associado ao coletivo de hackers APT28 (UAC-0001). Este último está diretamente ligado ao Diretório Principal do Estado-Maior das Forças Armadas da Rússia.

Na campanha mais recente, a TAG-110 ataca principalmente organizações na Ásia Central, Leste Asiático e Europa. Os defensores identificaram mais de 60 vítimas de onze países, incluindo incidentes significativos no Cazaquistão, Quirguistão e Uzbequistão. As atividades do grupo são provavelmente parte da estratégia mais ampla da Rússia para coletar inteligência sobre eventos geopolíticos e exercer influência sobre regiões pós-soviéticas.

Nos ataques em andamento, os adversários aplicam ferramentas de malware personalizadas chamadas HATVIBE e CHERRYSPY. HATVIBE atua como um carregador de aplicativo HTML personalizado para entregar CHERRYSPY, um backdoor baseado em Python projetado para roubo de dados e espionagem. O acesso inicial normalmente é obtido por um vetor de ataque de phishing ou explorando vulnerabilidades em serviços voltados para a web, como o Rejetto HTTP File Server. HATVIBE mantém persistência usando tarefas agendadas executadas por meio do utilitário mshta.exe. Emprega métodos de ofuscação, como codificação VBScript e criptografia XOR. Após a implantação, comunica-se com servidores C2 via solicitações PUT HTTP, enviando informações essenciais do sistema. CHERRYSPY melhora o HATVIBE facilitando a exfiltração segura de dados. Emprega técnicas fortes de criptografia, como RSA e AES, para se comunicar com seus servidores C2. A TAG-110 utiliza CHERRYSPY para rastrear os sistemas das vítimas e extrair dados sensíveis, visando principalmente organizações governamentais e de pesquisa.

Notavelmente, no meio do verão de 2024, o UAC-0063 estava experimentando as mesmas amostras maliciosas e armou uma conhecida vulnerabilidade do HFS HTTP File Server em ataques contra instituições de pesquisa ucranianas. Anteriormente, em maio de 2024, o grupo visou organizações na Ucrânia, Ásia Central e Leste Asiático, Israel e Índia via e-mails falsificados. 

Para mitigar as ameaças da TAG-110 e similares, as organizações são aconselhadas a corrigir falhas de segurança em tempo hábil para minimizar os riscos de exploração, impor autenticação multifator e outras camadas adicionais de proteção de segurança, e melhorar a conscientização sobre cibersegurança.

Como grupos APT apoiados por nações continuam a realizar campanhas sofisticadas para atingir seus objetivos estratégicos e coletar inteligência, fortalecer medidas proativas de defesa cibernética é imperativo para organizações em todo o mundo. Com a TAG-110 provavelmente mantendo suas operações de ciberespionagem contra nações da Ásia Central pós-soviéticas, Ucrânia e seus aliados, as organizações progressistas estão em busca de soluções com visão de futuro para se defenderem proativamente contra os ciberataques da TAG-110. 

Para ajudar a proteger organizações em múltiplos setores industriais contra ataques APT e ameaças críticas de qualquer sofisticação, a SOC Prime organiza um conjunto completo de produtos para engenharia de detecção com IA, caça automatizada de ameaças e detecção avançada de ameaças, atuando como uma solução de ponta pronta para empresas para fortalecer defesas em escala. A SOC Prime também organiza uma oferta de Detecção e Caça de Ameaças de Início Rápido oferta por tempo limitado customizada para organizações MSSP/MDR e empresas. 

Tabela de Conteúdos

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

Detecção de Atividades do Grupo XE: Da Cópia de Cartões de Crédito à Exploração de Vulnerabilidades Zero-Day CVE-2024-57968 e CVE-2025-25181 no VeraCore
Ameaças Mais Recentes, Blog — 4 min de leitura
Detecção de Atividades do Grupo XE: Da Cópia de Cartões de Crédito à Exploração de Vulnerabilidades Zero-Day CVE-2024-57968 e CVE-2025-25181 no VeraCore
Veronika Telychko
Detecção do Lumma Stealer: Campanha Sofisticada Usando Infraestrutura do GitHub para Espalhar SectopRAT, Vidar, Cobeacon e Outros Tipos de Malware
Ameaças Mais Recentes, Blog — 4 min de leitura
Detecção do Lumma Stealer: Campanha Sofisticada Usando Infraestrutura do GitHub para Espalhar SectopRAT, Vidar, Cobeacon e Outros Tipos de Malware
Veronika Telychko
Detecção de Backdoor TorNet: Uma Campanha de Phishing Contínua Usa Malware PureCrypter para Descarregar Outros Cargas
Ameaças Mais Recentes, Blog — 6 min de leitura
Detecção de Backdoor TorNet: Uma Campanha de Phishing Contínua Usa Malware PureCrypter para Descarregar Outros Cargas
Veronika Telychko