Introduzione
I recenti avvenimenti nel mondo della cybersecurity hanno portato alla luce una nuova minaccia: il gruppo di hacker russi noto come TAG-110. Questo gruppo, associato alle attività di spionaggio informatico, ha utilizzato malware personalizzato per infiltrarsi in organizzazioni governative, gruppi di diritti umani e istituzioni educative in Europa e Asia. In questo articolo, esploreremo i dettagli di questa campagna di spionaggio, le tecniche utilizzate dai hacker e forniremo suggerimenti per prevenire e mitigare tali attacchi.
La Campagna di Spionaggio di TAG-110
Il gruppo di hacker TAG-110 è stato identificato da Insikt Group, la squadra di intelligence sulle minacce di Recorded Future, che ha rilevato una serie di attacchi mirati contro organizzazioni in undici paesi, tra cui Armenia, Cina, Grecia, Ungheria, India, Kazakistan, Kirghizistan, Tagikistan, Turkmenistan, Ucraina e Uzbekistan. La campagna di spionaggio è stata avviata nel luglio 2024 e ha coinvolto 62 vittime uniche.
Malware Utilizzati
TAG-110 utilizza due malware personalizzati per i suoi obiettivi: HatVibe e CherrySpy.
HatVibe
HatVibe è un caricatore di applicazioni HTML (HTA) progettato principalmente per distribuire malware aggiuntivo, come il backdoor CherrySpy. Tuttavia, può anche eseguire script VBScript arbitrari. Il caricatore è probabilmente distribuito attraverso documenti Word maliziosi o sfruttando vulnerabilità come CVE-2024-23692. HatVibe mantiene la persistenza attraverso un compito programmato che esegue il file HTA utilizzando mshta.exe. Il caricatore impiega due livelli di obfuscation: codifica VBScript e crittografia XOR, rendendo difficile la detezione e l’analisi.
CherrySpy
CherrySpy è un backdoor Python utilizzato per spionaggio. Viene distribuito insieme a un interprete Python da HatVibe e mantiene la persistenza attraverso compiti programmati. In questa ultima campagna, CherrySpy è stato compilato in un modulo dinamico Python (.pyd) per evitare la detezione. CherrySpy stabilisce una connessione sicura con il server di comando e controllo utilizzando richieste POST HTTP, con crittografia RSA e AES per la chiave di scambio e la sicurezza dei dati. Include anche identificatori unici, come un ID a 24 caratteri e un checksum SHA-256, per garantire l’integrità durante la comunicazione.
Obiettivi e Motivazioni
I hacker di TAG-110 hanno come obiettivo principale acquisire informazioni per rafforzare gli sforzi militari russi in Ucraina e raccogliere informazioni sui sviluppi geopolitici nei paesi vicini. Queste attività sono parte di una strategia più ampia della Russia per influenzare la regione post-sovietica e mantenere il controllo geopolitico.
Vittime
Tra le vittime in risalto ci sono:
- Centro Nazionale per i Diritti Umani della Repubblica dell’Uzbekistan
- KMG-Security, una sussidiaria dell’azienda statale kazaka KazMunayGas
- Una istituzione educativa e di ricerca tagika
Queste organizzazioni sono state scelte probabilmente per la loro importanza strategica nella regione e per le informazioni che potrebbero fornire ai russi.
La campagna di spionaggio di TAG-110 rappresenta una minaccia seria per le organizzazioni in Europa e Asia. È fondamentale adottare una strategia di sicurezza multipla per prevenire e mitigare questi attacchi. Aggiornando regolarmente i software, proteggendo le applicazioni web, educando gli utenti, monitorando continuamente, proteggendo i dati, utilizzando firewall e antivirus, implementando protocolli di sicurezza e offrendo formazione continua, è possibile ridurre significativamente il rischio di essere vittima di un attacco di TAG-110.
Fonte: https://gbhackers.com/russian-tag-110-hacked-60-users
