与俄罗斯相关的APT组织TAG-110将欧洲和亚洲作为目标

研究人员指出，该活动的战术、技术和程序与历史上的UAC-0063操作一致，UAC-0063被归因于俄罗斯APT组织APT28（也称为Fancy Bear、Pawn Storm、Sofacy Group、Sednit和STRONTIUM）。APT组织使用HATVIBE加载器来传递CHERRYSPY等恶意软件，威胁行为者通常依赖恶意电子邮件或利用网络漏洞。HATVIBE使用混淆技术（如XOR加密），并通过计划任务与mshta.exe持续运行。加载器通过HTTP PUT与C2服务器通信，共享系统详细信息。

CHERRYSPY是一个Python后门，使用RSA和AES进行加密数据外泄。TAG-110使用它来针对政府和研究机构，提取敏感数据并监控系统。

Insikt Group发布的报告中写道：“HATVIBE作为加载器，用于部署CHERRYSPY，这是一个用于数据外泄和间谍活动的Python后门。初始访问通常通过钓鱼电子邮件或利用易受攻击的面向Web的服务（如Rejetto HTTP文件服务器）实现。”

2023年5月，乌克兰计算机应急响应团队（CERT-UA）警告称，一场网络间谍活动正在针对国家机构，作为由威胁行为者UAC-0063进行的间谍活动的一部分。攻击者使用了CHERRYSPY、HATVIBE、键盘记录器LOGPIE和STILLARCH恶意软件。

国家级行为者在2023年4月18日和4月20日向部门的电子邮件地址发送了钓鱼电子邮件，据称来自驻乌克兰的塔吉克斯坦大使馆的官方邮箱。

自2024年7月以来，TAG-110已经针对十一个国家的至少62个受害者，其中包括哈萨克斯坦、吉尔吉斯斯坦和乌兹别克斯坦的显著事件。

TAG-110的行动与俄罗斯的地缘政治利益一致，重点关注中亚地区，以在关系紧张的情况下维持影响力。研究人员指出，这些活动中收集的情报支持俄罗斯的军事战略，并增强了对区域动态的理解。

报告总结道：“预计TAG-110将继续其网络间谍活动，重点关注后苏联的中亚国家、乌克兰及其盟友。由于俄罗斯入侵乌克兰后关系紧张，这些地区对莫斯科具有重要意义。虽然TAG-110与BlueDelta的关系尚未得到证实，但其活动与BlueDelta在国家安全、军事行动和地缘政治影响方面的战

略利益相符。” 报告包含入侵指标（IoCs）以及Snort和Yara规则。

原文始发于微信公众号（黑猫安全）：与俄罗斯相关的APT组织TAG-110将欧洲和亚洲作为目标