Pojavila se sofisticirana kampanja sajber špijunaže usmjerena na vladine institucije Tadžikistana putem naoružanih Microsoft Word template, što označava značajnu taktičku evoluciju ruske grupe za prijetnje TAG-110.
Kampanja, koja se odvijala između januara i februara 2025. godine, predstavlja odstupanje od historijskih metoda grupe i pokazuje njihov kontinuirani fokus na operacije prikupljanja obavještajnih podataka širom Centralne Azije.
Hakeri su prešli sa svog tradicionalnog pristupa ugrađivanja HTA-baziranih podataka unutar Word dokumenata s omogućenim makroima na korištenje Word datoteka template s omogućenim makroima i ekstenzijom .dotm.
Ova taktička evolucija daje prioritet upornosti u odnosu na trenutno raspoređivanje korisnog tereta, omogućavajući malicioznom softveru da uspostavi trajnije uporište na ciljanim sistemima.
Kampanja je posebno ciljala vladina ministarstva, obrazovne institucije i istraživačke organizacije u Tadžikistanu koristeći pažljivo izrađene dokumente za privlačenje pažnje na temu protokola o radijacijskoj sigurnosti za oružane snage i informacija o rasporedu izbora.
Analitičari Recorded Futurea identificirali su kampanju detekcijom novih tereta prvog stepena TAG-110 koji su pokazivali različite obrasce ponašanja iz prethodnih operacija.
Istraživači su aktivnost pripisali grupi TAG-110 na osnovu ponovne upotrebe koda iz prethodnih kampanja, preklapanja u infrastrukturi komandovanja i kontrole i karakterističnog korištenja legitimnih vladinih dokumenata kao materijala za privlačenje pažnje od strane grupe.
Hakeri, koji se preklapa sa UAC-0063 i povezan je sa APT28 sa srednjom pouzdanošću, nastavlja podržavati šire strateške ciljeve Rusije u održavanju uticaja na cijelom bivšem sovjetskom prostoru.
.webp){kind=spacer}
Analizirani uzorci malicioznog softvera, uključujući dokumente sa SHA256 hešovima d60e54854f2b28c2ce197f8a3b37440dfa8dea18ce7939a356f5503ece9e5eb7 i 8508003c5aafdf89749d0abbfb9f5deb6d7b615f604bbb11b8702ddba2e365e7, oba komuniciraju s istim komandno-kontrolnim serverom na 38.180.206[.]61.
Ove datoteke predstavljaju značajno odstupanje od prethodnog oslanjanja TAG-110 na HATVIBE, maliciozni softver zasnovan na HTA-u koji je bio njihov prepoznatljivi alat najmanje od 2023. godine.
Upornost kroz manipulaciju folderima pri pokretanju
Najznačajniji aspekt ove kampanje leži u inovativnom mehanizmu perzistentnosti TAG-110.
Nakon izvršavanja, maliciozni Word template se kopira u mapu STARTUP programa Microsoft Word koja se nalazi na adresi %APPDATA%\Microsoft\Word\STARTUP\.dotm.
Ovo postavljanje pretvara maliciozni dokument u globalni template koji se automatski izvršava svaki put kada se Microsoft Word pokrene na zaraženom sistemu.
.webp)
Mehanizam perzistencije funkcioniše putem sofisticirane VBA makro strukture koja uključuje više podprocedura.
Funkcija Document_Open()inicijalno uklanja zaštitu s dokumenta pomoću čvrsto kodiranog ključa „gyjyfyjrtjrtjhfgjfrthrtj“ i kopira template u početni direktorij.
Nakon toga, AutoExec()procedura se automatski izvršava svaki put kada se Word pokrene, implementirajući provjeru vremena koja sprječava izvršenje ako je prošlo manje od 60 sekundi od posljednjeg pokretanja.
Maliciozni softver zatim prikuplja sveobuhvatne sistemske informacije, uključujući naziv računara, korisničko ime, regionalne postavke, rezoluciju monitora, jezičke postavke i verziju sistema prije nego što uspostavi komunikaciju sa svojom komandno-kontrolnom infrastrukturom.
Izvor: CyberSecurityNews
