揭秘俄罗斯APT组织TAG110：亚洲与欧洲网络安全的新威胁

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

随着网络攻击手段的不断升级，俄罗斯国家支持的高级持续性威胁（APT）组织TAG110近期再度成为网络安全领域的焦点。研究发现，该组织正在利用定制恶意软件HATVIBE和CHERRYSPY，对亚洲与欧洲的政府机构、人权组织以及教育机构发动大规模网络间谍行动。  

🎯 TAG110 的目标与背景

据 Insikt Group 的最新研究，TAG110 的主要目标包括：  

 中亚、东亚和欧洲的政府实体  

 人权组织和研究机构  

 教育机构  

这些攻击活动与俄罗斯的地缘政治利益紧密相关，特别是在俄罗斯与邻国关系因乌克兰冲突而日益紧张的背景下。  

TAG110 被认为是俄罗斯APT28（又名Fancy Bear、Pawn Storm、Sofacy Group）的延续，其活动旨在为俄罗斯提供战略情报支持。

🔍 攻击工具与手法揭秘

TAG110 使用的恶意软件家族包括：  

1. HATVIBE加载器  

    功能：部署CHERRYSPY等恶意工具。  

    技术特点：利用XOR加密实现混淆，通过mshta.exe设置计划任务以保持持久性。  

    通信方式：通过HTTP PUT与指挥控制（C2）服务器交换系统信息。

2. CHERRYSPY后门  

    功能：一个基于Python的后门程序，专注于数据加密传输（采用RSA和AES加密）。  

    目标：窃取敏感数据，监控系统行为。

研究表明，TAG110通常通过以下方式获取初始访问权限：  

 钓鱼邮件：伪装成来自官方机构（如大使馆）的电子邮件。  

 漏洞利用：攻击暴露的网络服务，例如Rejetto HTTP文件服务器。

📅 攻击案例回顾

2023年乌克兰国家机构受害事件  

乌克兰计算机应急响应小组（CERTUA）警告称，TAG110 曾通过伪装成塔吉克斯坦大使馆的电子邮件对乌克兰国家机构发起攻击。这些邮件携带了CHERRYSPY和HATVIBE等恶意工具，用于窃取关键情报。

2024年中亚与东欧攻击活动  

自2024年7月起，TAG110 已对至少11个国家的62个目标发起攻击。特别是哈萨克斯坦、吉尔吉斯斯坦和乌兹别克斯坦的政府和军事机构成为主要目标。

🌐 攻击的战略意义

研究指出，TAG110 的行动不仅服务于俄罗斯的军事策略，还为其理解中亚和东欧地区的地缘政治动态提供情报支持。这些地区由于历史和文化联系，在俄罗斯的战略版图中占据重要地位。

“TAG110 的网络间谍活动预计将继续聚焦于后苏联中亚国家、乌克兰及其盟友。这些区域对俄罗斯的地缘政治利益至关重要。”——Insikt Group报告。

🛡️ 我们如何应对？

为了应对TAG110等高级威胁，企业和机构可以采取以下措施：  

1. 加强钓鱼邮件防护：培训员工识别钓鱼攻击，提高对可疑邮件的警惕性。  

2. 定期更新系统与应用程序：修补已知漏洞，减少攻击面。  

3. 使用威胁情报工具：通过YARA规则和IoC（入侵指标）及时检测并响应威胁。  

4. 实施多因子认证（MFA）：防止攻击者通过泄露的凭据获取访问权限。

🔔 结语

TAG110 的攻击活动不仅反映了高级网络间谍技术的复杂性，也警示我们，全球网络安全形势日益严峻。  

推荐阅读：知识星球连载创作"全球高级持续威胁：网络世界的隐形战争"，总共26章，相信能够为你带来不一样的世界认知，欢迎感兴趣的朋友入圈沟通交流。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：揭秘俄罗斯APT组织TAG110：亚洲与欧洲网络安全的新威胁