Dieser Bericht stellt die von der Bedrohungsaktivitätsgruppe TAG-53 verwendete Infrastruktur dar und überschneidet sich mit öffentlichen Berichten über Callisto Group, COLDRIVER und SEABORGIUM. Die Aktivität wurde durch eine Kombination aus Netzwerkinformationen und Analysen aus Open-Source-Berichten identifiziert. Der Bericht dürfte vor allem für Netzwerkverteidiger und Personen von Interesse sein, die sich mit strategischer und operativer Aufklärung der Aktivitäten des russischen Staates im Cyberspace befassen.

Executive Summary

Ab Juli 2022 beobachtete die Insikt Group von Recorded Future die wiederkehrende Nutzung ähnlicher Infrastruktur durch die Bedrohungsaktivitätsgruppe TAG-53. Diese neu entdeckte Infrastruktur überschneidet sich wahrscheinlich mit anderen Infrastrukturtaktiken, -techniken und -verfahren (TTPs), die zuvor der Callisto Group, COLDRIVER und SEABORGIUM zugeschrieben wurden, die mit Aktivitäten in Verbindung gebracht wurden, die mit den Interessen des russischen Staates übereinstimmen.

Die Insikt Group hat bei der Kuratierung ihrer Infrastruktur eine wiederkehrende Verwendung gängiger Merkmale durch TAG-53 beobachtet. Dazu gehören die Verwendung von Domänennamen mit einer bestimmten Musterkonstruktion zusammen mit TLS-Zertifikaten von Let’s Encrypt, die Verwendung eines bestimmten Clusters von Hosting-Anbietern und die Verwendung eines kleinen Clusters autonomer Systeme.

Die TAG-53-Infrastruktur enthielt eine gefälschte Microsoft-Anmeldeseite, auf der sich ein legitimer US-amerikanischer Lieferant von Militärwaffen und -hardware ausgab. Dies legt die Vermutung nahe, dass ein Teil der TAG-53-Infrastruktur bereits einsatzbereit ist. Aufgrund öffentlicher Berichte über sich überschneidende TAG-53-Kampagnen in der Vergangenheit ist es wahrscheinlich, dass dieser Zugriff auf Anmeldeinformationen teilweise durch Phishing ermöglicht wird.

Wichtige Urteile

• Die Insikt Group hat eine neue Infrastruktur identifiziert, die von TAG-53 verwendet wird, einer Gruppe, die wahrscheinlich mit den mutmaßlichen russischen Bedrohungsgruppen Callisto Group, COLDRIVER und SEABORGIUM in Verbindung steht.
• Die identifizierte TAG-53-Infrastruktur weist gemeinsame Merkmale auf, darunter die Verwendung spezifischer Domänenregistrare, die Verwendung von Let’s Encrypt TLS-Zertifikaten und einen kleinen Cluster autonomer Systeme. Die meisten Domänen von TAG-53 verwenden eine bestimmte stilistische Struktur.
• TAG-53 hat Domänen verwendet, die sich als Organisationen aus mehreren Branchen ausgeben, mit besonderem Schwerpunkt auf Regierung, Geheimdiensten und der Rüstungsindustrie.

Hintergrund

TAG-53 ist beim Aufbau seiner Infrastruktur konsistent. Diese weist wesentliche Merkmale und Überschneidungen mit der Infrastruktur von Callisto Group, COLDRIVER und SEABORGIUM auf. Die Gruppe verwendet bei der Registrierung bösartiger Domänen weiterhin bestimmte stilistische Strukturen und nutzt spezielle Domänenregistrare mit IP-Adressen, die sich in einem kleinen Cluster autonomer Systeme befinden.

Am 15. August 2022 wurden in einem in Zusammenarbeit mit der Threat Analysis Group (TAG) von Google und dem Threat Research Team von Proofpoint veröffentlichten Bericht von Microsoft die Phishing-Aktivitäten von SEABORGIUM detailliert beschrieben. Im Rahmen dieser Untersuchung gelangt Microsoft zu der Einschätzung, dass SEABORGIUM aus Russland stammt und „Ziele und Viktimologie aufweist, die eng mit den russischen Staatsinteressen übereinstimmen“. Microsoft weist darauf hin, dass es bei den Aktien von SEABORGIUM Überschneidungen mit Callisto Group, TA446 und COLDRIVER gibt, und gibt an, dass der Bedrohungsakteur anhaltende Phishing- und Anmeldeinformationsdiebstahlkampagnen durchgeführt hat, die zu Eindringversuchen und Datendiebstahl geführt haben. SEABORGIUM konzentriert sich in erster Linie auf NATO-Länder, insbesondere auf die Vereinigten Staaten und das Vereinigte Königreich. Die Gruppe nahm auch die Ukraine im Vorfeld der groß angelegten russischen Invasion des Landes im Februar 2022 ins Visier.

Googles TAG berichtete im März und aktualisierte im Mai 2022, dass COLDRIVER unter Verwendung von Gmail-Konten Phishing-Kampagnen zu Anmeldeinformationen durchgeführt hat, die auf Nichtregierungsorganisationen und Think Tanks, Journalisten sowie Regierungs- und Verteidigungsbeamte abzielten. TAG weist außerdem darauf hin, dass sich die TTPs von COLDRIVER im Laufe der Zeit weiterentwickelt haben und mittlerweile in der Regel Links zu PDF- oder DOC-Dateien in die Phishing-E-Mails integrieren, die auf Google Drive und Microsoft OneDrive gehostet werden.

Bedrohungs- und technische Analyse

Die Insikt Group nutzte Informationen aus Open-Source-Berichten (1, 2, 3, 4), um ein Profil der TAG-53-Infrastruktur zu erstellen, die sich wahrscheinlich mit der Infrastruktur von Callisto Group, COLDRIVER und SEABORGIUM überschneidet. Die TAG-53-Infrastruktur wurde durch die Analyse spezifischer Kombinationen von Domänenregistraren, autonomen Systemen, Domänennamenstrukturen und zugehörigen TLS-Zertifikaten aufgedeckt. Aufgrund dieser Informationen ist es sehr wahrscheinlich, dass diese Bedrohungsgruppe ihre Phishing- und Anmeldeinformationssammelaktivitäten fortsetzt. Bei der Überwachung der TAG-53-Infrastruktur entdeckte die Insikt Group eine gefälschte Microsoft-Anmeldeseite, die sich als legitimer US-amerikanischer Lieferant von Militärwaffen und -hardware ausgab. Dies legt die Vermutung nahe, dass ein Teil der TAG-53-Infrastruktur wahrscheinlich bereits einsatzbereit ist.

Registrare

Unter Verwendung aktueller und passiver DNS-Einträge (Domain Name System) hat die Insikt Group die IP-Adressen für 38 registrierte Domänen aufgelöst, die seit Januar 2022 von TAG-53 verwendet werden. Die identifizierten TAG-53-Domänen, die in Anhang A aufgeführt sind, haben einen Trend zur Verwendung von NameCheap, Porkbun, REG.RU und regway für die Domänenregistrierung hervorgehoben, der seit Mitte 2022 anhält. Eine Aufschlüsselung davon ist in Abbildung 1 zu sehen. Der Grund für die Bevorzugung dieser Registrare ist unbekannt, es handelt sich jedoch um ein nützliches Maß für die Profilierung der potenziellen TAG-53-Infrastruktur.

Abbildung 1: Aufschlüsselung der von TAG-53 seit Januar 2022 verwendeten Domain-Registrare (Quelle: Recorded Future)

Autonome Systeme

Neben der Verwendung bestimmter Domänenregistrare werden auch bestimmte autonome Systeme verwendet. Alle unter TAG-53 erfassten Domänen sind in 10 autonomen Systemen vorhanden, wobei eine erhebliche Konzentration in 2 Autonomous System Numbers (ASNs) festgestellt wurde, die mit MIRhosting (AS52000) und Hostwinds (AS54290) verknüpft sind, wie in Tabelle 1 unten aufgeführt.

Tabelle 1: ASN-Detailaufschlüsselung für mit TAG-53 verknüpfte Domänen (Quelle: Recorded Future)

Domänennamenstruktur

Die meisten der Domains, die über das TAG-53-Tracking entdeckt wurden, verwenden ähnlich strukturierte Domainnamen, die hauptsächlich aus 2 Begriffen bestehen, die durch einen Bindestrich getrennt sind, wie z. B. "cloud-safety[.]online". Von den 38 identifizierten Domains verwendeten 33 die Stilform "-. (com|online|ru)". Von den verbleibenden 5 Domains erwiesen sich 4 als ähnlich, bestanden aber aus 3 Begriffen und 2 Bindestrichen — "share-drive-ua[.]com", "network-storage-ltd[.]com", "Land-of-Service[.]com" und "nonviolent-conflict-service[.]com" — und 1 enthielt keine Bindestriche — "proxycrioisolation[.]com". Zusätzliche Faktoren ermöglichten es der Insikt Group, diese Domains mit dem Rest der Infrastruktur von TAG-53 zu verknüpfen.

Eine Aufschlüsselung der in den TAG-53-Domänen gefundenen Begriffe (siehe Abbildung 2) verdeutlicht die wiederholte Verwendung bestimmter Wörter innerhalb der Domänen. Bei den meisten davon handelt es sich um allgemeine, generische Computerbegriffe.

Abbildung 2: Aufschlüsselung der in mit TAG-53 verknüpften Domänen verwendeten Begriffe (Quelle: Recorded Future)

X.509 TLS-Zertifikate

Es stellte sich heraus, dass alle identifizierten TAG-53-Domänen entsprechende X.509-TLS-Zertifikate von Let’s Encrypt hosten. Ein Beispiel hierfür finden Sie in Abbildung 3. Die weit verbreitete Verwendung von TLS-Zertifikaten von Let’s Encrypt ermöglicht weitere Korrelationen zwischen TAG-53-Domänen und -Infrastruktur und stärkt so die Clusterung dieser Aktivität.

Abbildung 3: Partielles X.509-TLS-Zertifikat für drive-globalordnance[.]COM (Quelle: crt.sh)

Targeting und Viktimologie

Von den 38 entdeckten Domänen enthielten 9 Verweise auf potenzielle Zielorganisationen oder Organisationen, als die sich TAG-53 möglicherweise auszugeben versucht (siehe Tabelle 2). Der Grund für die Verwendung dieser Themendomänen ist nicht vollständig geklärt und besteht wahrscheinlich nicht darin, dass damit versucht wird, reale Entitäten zu emulieren, um potenziellen Zielen und Opfern legitimer zu erscheinen.

Tabelle 2: Vermutete Ziele/Maskeraden von mit TAG-53 verknüpften Domänen (Quelle: Recorded Future)

Die Analyse der neun Domänen zeigt, dass sich sieben davon auf Branchen konzentrieren, die für Bedrohungsgruppen mit Russland-Nexus wahrscheinlich von Interesse sind, insbesondere angesichts des Krieges in der Ukraine. Die beiden Ausreißerdomänen sollen sich wahrscheinlich als das Innenministerium der Russischen Föderation tarnen. (Innenministerium)

Erfassung von Anmeldeinformationen

Die TAG-53-Domäne „drive-globalordnance[.]com“ enthält eine gefälschte Anmeldeseite für das legitime Unternehmen Global Ordnance, einen militärischen Waffen- und Hardwarelieferanten in den USA. Die gefälschte Anmeldeseite (siehe Abbildung 4) verwendet das Global Ordnance-Branding und wird vermutlich zum anschließenden Abgreifen von Anmeldeinformationen verwendet, nachdem ein Opfer Opfer eines Phishing-Angriffs wurde. Es ist unklar, ob Global Ordnance das eigentliche Ziel dieses versuchten Anmeldeinformationsabgriffs ist oder ob TAG-53 eine im Global Ordnance-Stil gestaltete Domäne und eine gefälschte Anmeldeseite verwendet, um sich als legitime Einheit auszugeben und gezielt Opfer anzusprechen.

Abbildung 4: Gefälschte Anmeldeseite von TAG-53 Global Ordnance (Quelle: URLScan)

Gegenmaßnahmen

Benutzer sollten die folgenden Maßnahmen ergreifen, um mit TAG-53 verbundene Aktivitäten zu erkennen und einzudämmen:

• Konfigurieren Sie Ihre Intrusion Detection Systems (IDS), Intrusion Prevention Systems (IPS) oder andere vorhandene Netzwerkabwehrmechanismen so, dass sie bei den im Anhang aufgeführten externen IP-Adressen und Domänen eine Warnung ausgeben und ggf. Verbindungsversuche von und zu diesen blockieren.
• Recorded Future erkennt proaktiv bösartige Serverkonfigurationen und bietet Möglichkeiten, diese im Command and Control Security Control Feed zu blockieren. Der Command and Control Feed enthält Tools, die von TAG-53 und anderen vom russischen Staat gesponserten Bedrohungsaktivitätsgruppen verwendet werden. Aufgezeichnete zukünftige Clients sollten vor diesen C2-Servern warnen und sie blockieren, um die Erkennung und Behebung aktiver Eindringversuche zu ermöglichen.
• Benutzer der Module Recorded Future Threat Intelligence (TI), Third-Party Intelligence und SecOps Intelligence können die Ausgabe der Network Intelligence-Analyse in Echtzeit überwachen, um mutmaßliche gezielte Angriffsaktivitäten zu identifizieren, an denen Ihr Unternehmen oder wichtige Anbieter und Partner beteiligt sind.
• Überwachen Sie mithilfe des Recorded Future Brand Intelligence (BI) -Moduls Domänenmissbrauch, beispielsweise Typosquat-Domänen, die Ihr Unternehmen vortäuschen. Die SecurityTrails-Erweiterung ist für jeden Kunden verfügbar, der ein Abonnement der Module Threat Intelligence oder Brand Intelligence besitzt. Die LogoType-Quelle und -Alarmierung sind ausschließlich dem BI-Modul vorbehalten, das TI-Modul hat jedoch über den Advanced Query Builder Zugriff auf die Daten.
• Im Playbook „Betrügerische Domains und Typosquats“ von Recorded Future wird die Priorisierung von Typosquatting- oder ähnlichen Domain-Warnungen erläutert. Wenn Sie Ihre Warnmeldungen noch nicht eingerichtet haben, finden Sie weitere Informationen zum Aktivieren zertifizierter Warnmeldungen in der Intelligence Goals Library.

Ausblick

Die Insikt Group verfolgt weiterhin die TAG-53-Infrastruktur und beobachtet Änderungen bei den TTPs, da die Aktivitäten der Gruppe zum Sammeln von Anmeldeinformationen vielfältiger werden. Insbesondere zeichnet sich ein anhaltender Trend zur Verwendung speziell zugeschnittener Infrastrukturen durch TAG-53 ab, was die langfristige Verwendung ähnlicher Techniken für ihre strategischen Kampagnen unterstreicht.

Leser sollten die im Zusammenhang mit der TAG-53-Berichterstattung genannten Indikatoren über die Recorded Future Platform in der Netzwerküberwachung, in Angriffserkennungssystemen, Firewalls und allen zugehörigen Perimetersicherheitsgeräten erkennen, blockieren und suchen.

Anhang A — Indikatoren

Domänen

access-confirmation[.]COM
allow-access[.]COM
antibots-service[.]COM
blueskynetwork-shared[.]COM
botguard-checker[.]COM
botguard-web[.]COM
challenge-identifier[.]COM
checker-bot[.]COM
cija-docs[.]COM
cloud-sicherheit[.]online
cloud-us[.]online
dns-cache[.]online
dns-cookie[.]COM
dns-mvd[.]ru
docs-web[.]online
drive-control[.]COM
drive-globalordnance[.]COM
drive-previewer[.]COM
drive-us[.]online
dtgruelle-drive[.]COM
dtgruelle-us[.]COM
encompass-shared[.]COM
filter-bot[.]COM
goweb-protect[.]COM
guard-checker[.]COM
land-of-service[.]COM
live-identifier[.]COM
mvd-redir[.]ru
network-storage-ltd[.]COM
gewaltfreier-konflikt-dienst[.]COM
proxycrioisolation[.]COM
redir-document[.]COM
response-filter[.]COM
response-redir[.]COM
sangrail-share[.]COM
share-drive-ua[.]COM
transfer-record[.]COM
umopl-drive[.]COM

IP-Adressen

23[.]254[.]201[.]243
45[.]66[.]248[.]9
45[.]86[.]230[.]198
45[.]153[.]229[.]79
64[.]44[.]101[.]31
77[.]91[.]126[.]16
77[.]91[.]126[.]35
77[.]91[.]126[.]46
77[.]91[.]126[.]62
77[.]91[.]126[.]64
77[.]91[.]126[.]66
77[.]91[.]126[.]69
77[.]91[.]69[.]109
85[.]239[.]53[.]210
85[.]239[.]60[.]18
85[.]239[.]61[.]49
85[.]239[.]61[.]86
138[.]124[.]187[.]143
138[.]124[.]187[.]222
142[.]11[.]209[.]171
142[.]11[.]209[.]180
142[.]11[.]210[.]53
146[.]19[.]230[.]182
146[.]59[.]102[.]76
185[.]164[.]172[.]128
185[.]164[.]172[.]220
185[.]179[.]188[.]73
185[.]179[.]189[.]32
185[.]179[.]189[.]43
185[.]179[.]189[.]45
192[.]119[.]65[.]114
192[.]119[.]97[.]190
192[.]119[.]112[.]249
192[.]129[.]154[.]225
192[.]236[.]195[.]114
192[.]236[.]193[.]194
193[.]200[.]17[.]102
195[.]246[.]110[.]45

Anhang B – Mitre ATT&CK-Techniken