Специалисты Insikt Group обнаружили новую фишинговую кампанию против государственных структур Таджикистана, проводимую Российской хакерской группой TAG-110. Атаки происходили в январе-феврале 2025 года с использованием новых тактик.
Описание
Изменение методов атаки
В отличие от предыдущих кампаний, где использовались документы с внедрённым HTA-кодом HATVIBE, теперь злоумышленники применяют шаблоны Word с макросами (.dotm). Эти файлы автоматически копируются в папку STARTUP Microsoft Word для постоянного доступа.
Цели
Целями атак стали правительственные и образовательные учреждения Таджикистана.
Технические детали
Вредоносные документы маскируются под официальные уведомления - одно о радиационной безопасности вооружённых сил, другое о выборах в Душанбе. При открытии файла макросы:
- Собирают системную информацию (имя компьютера, пользователя, регион и др.)
- Отправляют данные на сервер 38.180.206[.]61
- Получают и выполняют дополнительные команды
Перспективы
Аналитики ожидают продолжения кампаний TAG-110 против государственных структур Центральной Азии, особенно в период важных политических событий. Группа может и дальше совершенствовать свои методы атак.
Индикаторы компрометации
IPv4
- 188.130.234.189
- 38.180.206.61
SHA256
- 6c81d2af950e958f4872d3ced470d9f70b7d73bc0b92c20a34ce8bf75d551609
- 8508003c5aafdf89749d0abbfb9f5deb6d7b615f604bbb11b8702ddba2e365e7
- d60e54854f2b28c2ce197f8a3b37440dfa8dea18ce7939a356f5503ece9e5eb7