С января по февраль 2025 года исследовательская группа Insikt Group зафиксировала новую фишинговую кампанию, реализуемую российским хакером TAG-110. Данная группа, связанная с APT28 (BlueDelta) и UAC-0063, нацелилась на организации в Таджикистане, используя документы с правительственной тематикой в качестве приманки. Новая кампания демонстрирует значительный сдвиг в тактиках, что свидетельствует о развитии стратегий кибершпионажа в регионе.
Эволюция методов атаки
Ранее TAG-110 использовала полезные программы на основе HTA, в частности вредоносное ПО HATVIBE. В текущей кампании вместо этого применяются файлы шаблонов Microsoft Word с поддержкой макросов (.dotm), которые размещаются в папке запуска Word. Это позволяет автоматически выполнять вредоносный код при запуске приложения, обеспечивая устойчивость проникновения в систему.
- Использование шаблонов Word (.dotm) с макросами вместо HTA-скриптов.
- Автоматическое выполнение макросов благодаря размещению в папке Word STARTUP.
- Целевые организации: министерства и образовательные учреждения Таджикистана.
- Возможная связь кампании с важными политическими событиями, такими как выборы.
Технические детали и механизм работы
Вредоносный документ активирует автоматический макрос (AutoExec), который реализует следующие действия:
- Проверяет время последнего запуска Microsoft Word — если документ открыт повторно в течение определённого времени, выполнение макроса прекращается.
- В случае первого запуска макрос собирает системную информацию.
- Устанавливает соединение с сервером управления (C2) для дальнейшего управления компрометированной системой.
Все вредоносные документы, идентифицированные по определённым хэш-суммам, используют одну инфраструктуру C2, что подтверждает скоординированную активность группы.
Стратегические цели и последствия
TAG-110 исторически нацелена на учреждения государственного сектора в Центральной Азии, стремясь повлиять на региональную безопасность и политическую ситуацию в интересах России. Использование легитимно выглядящих документов создаёт иллюзию подлинности, повышая эффективность фишинга.
В прошлом TAG-110 применяла вредоносные семейства HATVIBE, CHERRYSPY и LOGPIE, что говорит о готовности развернуть в рамках новой кампании дополнительные специализированные инструменты для кибершпионажа.
«Переход к шаблонам Word с макросами — важный тактический шаг вперед, позволяющий группе усилить постоянство и сложность своих операций в регионе», — отмечают эксперты Insikt Group.
Рекомендации по защите
С учётом изменяющегося ландшафта угроз организациям следует усилить меры безопасности, в частности:
- Активно применять политики ограничения выполнения макросов в Microsoft Office.
- Отслеживать несанкционированное добавление файлов в папку Word STARTUP.
- Обучать персонал выявлению фишинговых документов и подозрительных электронных писем.
- Использовать средства мониторинга сетевого трафика для обнаружения попыток связи с C2-серверами.
Реализация этих мер позволит снизить риски успешного внедрения вредоносного кода и повысить информационную устойчивость целевых организаций.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Фишинговая кампания TAG-110: новый метод атак через Word-шаблоны".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.