Группа Insikt компании Recorded Future обнаружила новые кибердействия группы TAG-100, направленные на высокопоставленные правительственные, межправительственные и частные организации по всему миру. По мнению Insikt Group, группа, скорее всего, имеет мотивы для кибершпионажа.
TAG-100 APT
TAG-100 использует инструменты удаленного доступа с открытым исходным кодом и эксплуатирует устройства, выходящие в интернет, для получения первоначального доступа. Группа использовала Pantegana, SparkRAT, LESLIELOADER и Cobalt Strike. TAG-100 также быстро эксплуатирует недавно обнародованные уязвимости в устройствах, выходящих в интернет. В марте и апреле 2024 года группа была замечена за эксплуатацией CVE-2024-3400 в межсетевом экране Palo Alto Networks GlobalProtect и CVE-2019-9621 в Zimbra Collaboration Suite.
Использование устройств, выходящих в Интернет, позволяет злоумышленникам получать доступ к целевым сетям через продукты, которые менее заметны для команд безопасности и решений, что снижает риск обнаружения после проникновения.
По состоянию на май 2024 года группа, вероятно, взломала организации по меньшей мере в десяти странах. Insikt Group определила следующие значимые организации:
- Межправительственные организации со штаб-квартирами в Юго-Восточной Азии и Океании
- Министерства иностранных дел стран Юго-Восточной Азии, Южной Америки и Карибского бассейна.
- Посольство в США одной из стран Юго-Западной Азии
- Ряд религиозных организаций в США и на Тайване
- Торговая ассоциация финансовой индустрии в США
- Компания по тестированию и сборке полупроводников на Тайване.
Хотя Insikt Group пока не может объяснить деятельность TAG-110, неоднократные нападения группы на дипломатические, религиозные и межправительственные организации соответствуют мотиву шпионажа. Кроме того, некоторые цели этой деятельности совпадают с теми, на которые исторически нацеливались китайские группы, спонсируемые государством. Insikt Group продолжает расследование этой деятельности.
Indicators of Compromise
IPv4
- 104.244.79.119
- 144.202.125.201
- 173.254.229.93
- 198.98.49.41
- 205.185.117.73
- 205.185.121.169
- 205.185.122.35
- 205.185.126.208
- 205.185.127.12
- 207.246.108.119
- 209.141.37.217
- 209.141.42.131
- 209.141.46.83
- 209.141.47.6
- 209.141.50.215
- 209.141.57.75
- 216.238.68.36
- 38.54.115.34
- 38.54.15.164
- 45.32.107.53
Domains
- www.megtech.xyz
SHA256
- 23efecc03506a9428175546a4b7d40c8a943c252110e83dec132c6a5db8c4dd6
- 8eb3617768ce4693b726bb8187e5cccea3359de0196d6f2bbe555c31f12d1234
- 9b6bc9e7ed924900e5dfb8df2ac0916fbe6913a7717c341152f5c17ae017278c
- b8cab11421eb4731c16cf3c34ca2b3f2a758d5e112f877b90a18b3e146c8add0
- e3aab908800cb4601bc4a87ac9ac48d816ced57cdb409b6e2468956cc50bdf04
- ec45da0ca70a9b71652cc95d51665f7ad568294bd5652c395a119bccd613e9b4