СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Артем
26.11.2024
#ИБ

Recorded Future: российские кибершпионы атакуют организации с применением вредоносного ПО HatVibe и CherrySpy

Recorded Future: российские кибершпионы атакуют организации с применением вредоносного ПО HatVibe и CherrySpy

В новом отчёте компании Recorded Future рассказывается о русскоязычной хакерской группировке TAG-110, якобы проводящей кампанию кибершпионажа по всей Европе и Азии. Команда экспертов Insikt, группы по анализу угроз в компании Recorded Future, сообщила, что хакерская группа, отслеживаемая как TAG-110, использует вредоносное ПО для взлома правительственных учреждений, правозащитных организаций и образовательных структур.

Аналитики в ходе исследования выявили 62 уникальные жертвы, подвергшиеся атакам двух вредоносных программ, используемых хакерской группой TAG-110 (HatVibe и CherrySpy), в одиннадцати странах. При этом наибольшее число пострадавших было обнаружено в Центральной Азии.

По словам экспертов, эта новая киберпреступная кампания предположительно началась в июле 2024 года. Хакеры уже атаковали как минимум 62 организации из Армении, Китая, Греции, Венгрии, Индии, Казахстана, Кыргызстана, Таджикистана, Туркменистана, Украины и Узбекистана. Большинство атак произошло в странах Центральной Азии — Таджикистане, Кыргызстане, Туркменистане и Казахстане. Среди известных жертв числятся Национальный центр по правам человека Республики Узбекистан, KMG-Security (дочерняя компания казахского государственного нефтегазового предприятия «КазМунайГаз»), а также таджикское образовательное и научно-исследовательское учреждение.

В предыдущих отчётах Recorded Future сообщалось, что помимо основных целей TAG-110 в Центральной Азии, вторичными объектами атак являются Индия, Израиль, Монголия и Украина.

HatVibe — загрузчик пользовательских HTML-приложений (HTA), в первую очередь предназначенный для развертывания дополнительных вредоносных программ, например бэкдора CherrySpy. Кроме того, он способен выполнять произвольный VBScript. Вероятно, HatVibe распространяется через вредоносные документы Word или эксплуатирует уязвимости, такие как CVE-2024-23692. Для обеспечения устойчивости загрузчик использует запланированную задачу, которая запускает файл HTA с помощью mshta.exe. HatVibe применяет два уровня обфускации: кодирование VBScript и шифрование XOR, что затрудняет его обнаружение и анализ.

CherrySpy — бэкдор на основе Python, используемый для шпионажа. Он развёртывается вместе с интерпретатором Python программой HatVibe и поддерживает устойчивость через запланированные задачи.

Полная версия отчёта представлена по ссылке.

Recorded Future — организация, признанная нежелательной в России в соответствии с решением Генпрокуратуры РФ.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: