详细内容或原文请订阅后点击阅览
与俄罗斯有关的 APT TAG-110 针对欧洲和亚洲
与俄罗斯有关的威胁行为者 TAG-110 使用定制恶意软件 HATVIBE 和 CHERRYSPY 来针对亚洲和欧洲的组织。Insikt Group 研究人员发现了与俄罗斯有关的威胁行为者 TAG-110 正在进行的网络间谍活动,该活动使用了定制恶意软件工具 HATVIBE 和 CHERRYSPY。该活动主要针对中亚、东亚、[…] 的政府实体、人权组织和教育机构
来源:Security Affairs _恶意软件与俄罗斯有关的 APT TAG-110 使用欧洲和亚洲作为目标
与俄罗斯有关的 APT TAG-110 使用欧洲和亚洲作为目标
Pierluigi Paganini Pierluigi Paganini 2024 年 11 月 25 日与俄罗斯有关的威胁行为者 TAG-110 使用定制恶意软件 HATVIBE 和 CHERRYSPY 来针对亚洲和欧洲的组织。
Insikt Group 的研究人员发现了与俄罗斯有关的威胁行为者 TAG-110 正在进行的网络间谍活动,该活动使用了定制恶意软件工具 HATVIBE 和 CHERRYSPY。
HATVIBE CHERRYSPY该活动主要针对中亚、东亚和欧洲的政府实体、人权组织和教育机构。
研究人员指出,该活动的策略、技术和程序与 UAC-0063 的历史行动一致,后者归因于俄罗斯 APT APT28(又名 Fancy Bear、 Pawn Storm、 Sofacy Group、 Sednit 和 STRONTIUM)。
UAC-0063 APT28 Fancy Bear Pawn Storm Sofacy Group Sednit STRONTIUM该 APT 使用 HATVIBE 加载器来传播 CHERRYSPY 等恶意软件,威胁行为者通常依赖恶意电子邮件或利用 Web 漏洞。 HATVIBE 使用混淆(例如 XOR 加密)并通过 mshta.exe 的计划任务持续存在。加载程序通过 HTTP PUT 与 C2 服务器通信,共享系统详细信息。
mshta.exeCHERRYSPY 是一个 Python 后门,可使用 RSA 和 AES 实现加密数据泄露。TAG-110 使用它来针对政府和研究实体提取敏感数据和监控系统。
“HATVIBE 充当加载程序来部署 CHERRYSPY,这是一个用于数据泄露和间谍活动的 Python 后门。初始访问通常是通过网络钓鱼电子邮件或利用 Rejetto HTTP 文件服务器等易受攻击的面向 Web 的服务来实现的。” Insikt Group 发布的报告写道。
“HATVIBE 充当加载程序来部署 CHERRYSPY,这是一个用于数据泄露和间谍活动的 Python 后门。初始访问通常是通过网络钓鱼电子邮件或利用 Rejetto HTTP 文件服务器等易受攻击的面向 Web 的服务来实现的。”阅读 Insikt Group 发布的报告。 ( –