Hackeři napojení na Rusko byli spojeni s kampaní kyber špionáže zaměřenou na organizace ve střední Asii, východní Asii a Evropě.

Skupina Insikt Group společnosti Recorded Future, která této aktivitě přiřadila označení TAG-110, uvedla, že se překrývá se skupinou sledovanou Ukrajinským týmem pro reakci na počítačové hrozby (CERT-UA) pod názvem UAC-0063, která se zase překrývá se skupinou APT28. Tato hackerská skupina je aktivní minimálně od roku 2021.

„Pomocí vlastních malwarových nástrojů HATVIBE a CHERRYSPY TAG-110 primárně útočí na vládní subjekty, organizace pro lidská práva a vzdělávací instituce,“ uvedla kyberbezpečnostní společnost ve čtvrteční zprávě. „HATVIBE funguje jako loader pro nasazení CHERRYSPY, což je Python backdoor používaný pro exfiltraci dat a špionáž.“

Použití HATVIBE a CHERRYSPY skupinou TAG-110 bylo poprvé zdokumentováno CERT-UA koncem května 2023 v souvislosti s kybernetickým útokem na státní agentury na Ukrajině. Obě rodiny malwaru byly znovu zaznamenány o více než rok později při útoku na nejmenovanou vědeckou výzkumnou instituci v zemi.

Od té doby bylo identifikováno až 62 unikátních obětí v jedenácti zemích, přičemž významné incidenty byly zaznamenány v Tádžikistánu, Kyrgyzstánu, Kazachstánu, Turkmenistánu a Uzbekistánu, což naznačuje, že střední Asie je hlavní oblastí zájmu tohoto aktéra, pravděpodobně ve snaze shromažďovat informace, které by mohly informovat o geopolitických cílech Ruska v regionu. Menší počet obětí byl také zjištěn v Arménii, Číně, Maďarsku, Indii, Řecku a na Ukrajině.

Útoky zahrnují zneužití bezpečnostních chyb ve veřejně přístupných webových aplikacích (např. Rejetto HTTP File Server) a phishingové e-maily jako počáteční vektor přístupu pro nasazení HATVIBE, což je na míru vytvořený HTML loader, který slouží jako prostředník pro nasazení backdooru CHERRYSPY pro shromažďování a exfiltraci dat.

Zdroj: thehackernews.com