Фишинговая кампания TAG-110: новый метод атак через Word-шаблоны

С января по февраль 2025 года исследовательская группа Insikt Group зафиксировала новую фишинговую кампанию, реализуемую российским хакером TAG-110. Данная группа, связанная с APT28 (BlueDelta) и UAC-0063, нацелилась на организации в Таджикистане, используя документы с правительственной тематикой в качестве приманки. Новая кампания демонстрирует значительный сдвиг в тактиках, что свидетельствует о развитии стратегий кибершпионажа в регионе.

Эволюция методов атаки

Ранее TAG-110 использовала полезные программы на основе HTA, в частности вредоносное ПО HATVIBE. В текущей кампании вместо этого применяются файлы шаблонов Microsoft Word с поддержкой макросов (.dotm), которые размещаются в папке запуска Word. Это позволяет автоматически выполнять вредоносный код при запуске приложения, обеспечивая устойчивость проникновения в систему.

• Использование шаблонов Word (.dotm) с макросами вместо HTA-скриптов.
• Автоматическое выполнение макросов благодаря размещению в папке Word STARTUP.
• Целевые организации: министерства и образовательные учреждения Таджикистана.
• Возможная связь кампании с важными политическими событиями, такими как выборы.

Технические детали и механизм работы

Вредоносный документ активирует автоматический макрос (AutoExec), который реализует следующие действия:

• Проверяет время последнего запуска Microsoft Word — если документ открыт повторно в течение определённого времени, выполнение макроса прекращается.
• В случае первого запуска макрос собирает системную информацию.
• Устанавливает соединение с сервером управления (C2) для дальнейшего управления компрометированной системой.

Все вредоносные документы, идентифицированные по определённым хэш-суммам, используют одну инфраструктуру C2, что подтверждает скоординированную активность группы.

Стратегические цели и последствия

TAG-110 исторически нацелена на учреждения государственного сектора в Центральной Азии, стремясь повлиять на региональную безопасность и политическую ситуацию в интересах России. Использование легитимно выглядящих документов создаёт иллюзию подлинности, повышая эффективность фишинга.

В прошлом TAG-110 применяла вредоносные семейства HATVIBE, CHERRYSPY и LOGPIE, что говорит о готовности развернуть в рамках новой кампании дополнительные специализированные инструменты для кибершпионажа.

«Переход к шаблонам Word с макросами — важный тактический шаг вперед, позволяющий группе усилить постоянство и сложность своих операций в регионе», — отмечают эксперты Insikt Group.

Рекомендации по защите

С учётом изменяющегося ландшафта угроз организациям следует усилить меры безопасности, в частности:

• Активно применять политики ограничения выполнения макросов в Microsoft Office.
• Отслеживать несанкционированное добавление файлов в папку Word STARTUP.
• Обучать персонал выявлению фишинговых документов и подозрительных электронных писем.
• Использовать средства мониторинга сетевого трафика для обнаружения попыток связи с C2-серверами.

Реализация этих мер позволит снизить риски успешного внедрения вредоносного кода и повысить информационную устойчивость целевых организаций.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.