Executive Summary

Von Januar bis Februar 2025 entdeckte die Insikt Group eine Phishing-Kampagne, die auf Tadschikistan abzielte. Laut der Insikt Group war TAG-110 verantwortlich. TAG-110 ist ein Russland zugerechneter Bedrohungsakteur, bei dem Überlappungen mit UAC-0063 bestehen und der von CERT-UA mit mittlerer Gewissheit mit APT28 (BlueDelta) in Verbindung gebracht wurde. In dieser Kampagne nutzte TAG-110 als tadschikische Regierungsdateien maskierte Dokumente als Lockmittel, was mit der bisherigen Verwendung von trojanisierten legitimen Regierungsdokumenten übereinstimmt, obwohl die Echtheit der aktuellen Beispiele nicht unabhängig verifiziert werden konnte. Diese Dokumente unterschieden sich von denen, die in früheren Kampagnen verwendet wurden (1, 2, 3, 4), da ihnen insbesondere die eingebettete HTA-basierte Nutzlast HATVIBE fehlte, die TAG-110 seit mindestens 2023 einsetzt. In dieser Kampagne hat TAG-110 begonnen, Word-Vorlagendateien mit Makros (.dotm-Dateien) anstelle von HATVIBE für die anfängliche Nutzlast zu verwenden. Angesichts der historischen Ausrichtung von TAG-110 auf öffentliche Einrichtungen in Zentralasien zielt diese Kampagne wahrscheinlich auf Regierungs-, Bildungs- und Forschungseinrichtungen in Tadschikistan ab.

Russlands Zentralasien-Politik konzentriert sich darauf, eine postsowjetische Einflusssphäre zu bewahren, indem es sich in den Kern der Sicherheits-, Wirtschafts- und politischen Architektur der Region einbettet. Die Aktivitäten von TAG-110 stärken weiterhin diese Politik durch nachrichtendienstliche Operationen. Die Insikt Group erwartet, dass TAG‑110 regionale Operationen gegen Regierungsministerien, akademische und Forschungseinrichtungen sowie diplomatische Missionen aufrechterhalten wird, insbesondere gegen solche, die an bevorstehenden Wahlen, Militäroperationen oder anderen Ereignissen beteiligt sind, die der Kreml beeinflussen möchte.

Wichtige Erkenntnisse

• TAG-110 hat seine Spearphishing-Taktiken in den letzten Kampagnen gegen Tadschikistan geändert, da sie nun auf Word-Vorlagen mit Makros (.dotm-Dateien) setzen.
• Diese Kampagne wird TAG-110 zugeschrieben, basierend auf der Wiederverwendung von VBA-Code aus früheren Kampagnen, Überschneidungen in der C2-Infrastruktur und der Verwendung mutmaßlich legitimer Regierungsdokumente als Ködermaterial.
• TAG-110s anhaltende Angriffe auf tadschikische Regierungs-, Bildungs- und Forschungseinrichtungen unterstützen Russlands Strategie, den Einfluss in Zentralasien zu bewahren. Diese Cyberspionageoperationen zielen wahrscheinlich darauf ab, Informationen zu sammeln, um die regionale Politik oder Sicherheit zu beeinflussen, insbesondere bei sensiblen Ereignissen wie Wahlen oder geopolitischen Spannungen.
• Die jüngste Verwendung von Word-Vorlagen mit Makros (.dotm) durch TAG-110, die im Microsoft Word STARTUP-Ordner zur automatischen Ausführung abgelegt werden, verdeutlicht eine taktische Entwicklung, die die Persistenz in den Vordergrund stellt. Organisationen sollten das STARTUP-Verzeichnis von Word auf unbefugte Ergänzungen überwachen und strenge Makrosicherheitsrichtlinien durchsetzen.

Hintergrund

TAG-110 ist ein Russland zugerechneter Bedrohungsakteur, bei dem Überlappungen mit UAC-0063 bestehen und der von CERT-UA mit mittlerer Gewissheit mit APT28 (BlueDelta) in Verbindung gebracht wird. TAG-110 hat seit mindestens 2021 Cyberspionagekampagnen durchgeführt, die sich hauptsächlich gegen Zentralasien richten. Historisch gesehen ist diese Gruppe für die Verwendung von Word-Dokumenten mit Makros bekannt, um bösartige Nutzdaten wie HATVIBE zu liefern, eine HTA-basierte Malware, die für den Erstzugang und die Persistenz entwickelt wurde. Im November 2024 hob die Insikt Group hervor, dass TAG-110 HTA-eingebettete Spearphishing-Anhänge in E-Mails verwendet, die auf diplomatische Einrichtungen in Zentralasien zugeschnitten sind. Die Operationen von TAG-110 wurden von Organisationen wie CERT-UA, BitDefender und Sekoia dokumentiert, wobei die jüngsten Kampagnen auf Einrichtungen in Kasachstan, Usbekistan und anderen zentralasiatischen Staaten abzielten. TAG-110 setzt weiterhin verschiedene maßgefertigte Malware-Familien ein, um Spionageaktivitäten durchzuführen, darunter CHERRYSPY (DownExPyer), LOGPIE und PyPlunderPlug.

Bedrohungsanalyse

Ab Januar 2025 entdeckte die Insikt Group neue TAG-110-Nutzlasten der ersten Stufe, was darauf hindeutete, dass die Bedrohungsakteure ihre Taktiken weiterentwickelten. Zuvor nutzte TAG-110 Word-Dokumente mit Makros, um HATVIBE (eine auf HTA basierende Malware) für den Erstzugriff bereitzustellen. Die neu erkannten Dokumente enthalten nicht die eingebettete HTA HATVIBE-Nutzlast zum Erstellen einer geplanten Aufgabe, sondern verwenden zwecks Persistenz eine globale Vorlagendatei, die im Startordner von Word abgelegt ist.

Dokumentenanalyse

Tabelle 1: Metadaten von d60e54854f2b28c2ce197f8a3b37440dfa8dea18ce7939a356f5503ece9e5eb7 (Quelle: Recorded Future)

Das erste Dokument (Abbildung 1) scheint eine Mitteilung an die Streitkräfte Tadschikistans zu sein, die sich mit der Gewährleistung der Strahlensicherheit befasst. Die maschinelle Übersetzung hat „РТ“ fälschlicherweise als „Republik Tartarstan“ übersetzt. Im weiteren Kontext des Dokuments bezieht sich „PT“ jedoch wahrscheinlich auf die „Republik Tadschikistan“, da später im Dokument „Республика Таджикистан“ anstelle von „PT“ verwendet wird. Die Insikt Group konnte die Echtheit des Dokuments nicht verifizieren, aber TAG-110 hat historisch legitime Dokumente als Köder verwendet.

Tabelle 2: Metadaten von 8508003c5aafdf89749d0abbfb9fb6d7b615f604bbb11b8702ddba2e365e7 (Quelle: Recorded Future)

Das zweite Dokument (Abbildung 2) scheint ein Zeitplan für die Wahlen in Duschanbe, der Hauptstadt Tadschikistans, zu sein. Zum Zeitpunkt der Berichterstattung konnte die Insikt Group die Echtheit des Dokuments nicht verifizieren.

VBA Macros

Beide Beispieldateien, d60e54854f2b28c2ce197f8a3b37440dfa8dea18ce7939a356f5503ece9e5eb7 und 8508003c5aafdf89749d0abbfb9f5deb6d7b615f604bbb11b8702ddba2e365e7, verwenden die gleiche Funktionalität und Command-and-Control-Infrastruktur (C2), mit nur einer geringfügigen Änderung an den C2-Kommunikationsmethoden. Abbildung 3 zeigt den Quellcode dieser bösartigen Word-Dokumente.

Analyse von Unterverfahren

Document_Open()-Unterprozedur

Beim Öffnen der schädlichen Datei wird das Ereignis document.open ausgelöst und der verbleibende Code führt Folgendes aus:

• Heben Sie den Schutz des Dokuments mit dem Schlüssel "gyjyfyjrtjrtjhfgjfrthrtj" auf.
• Rechtschreibfehler verbergen
• Versuchen, die Schriftlinienstärke auf 0 zu setzen.
• Copy itself to the Word startup folder (%APPDATA%\Microsoft\Word\STARTUP<filename>.dotm) in XML template format with macros enabled for persistence

AutoExec()-Subprozedur

Sobald das Dokument zum Word-Startordner hinzugefügt wurde, wird es als globale Vorlage behandelt und führt bei jedem Start von Microsoft Word das automatische Makro AutoExec aus. Das AutoExec-Makro führt die folgenden Vorgänge aus:

• Überprüft, wann Microsoft Word zuletzt gestartet wurde. Dieser Wert wird von der globalen Vorlage im Registrierungsverzeichnis HKEY_CURRENT_USER\Software\Microsoft\Office \Word\Options\LastTime gespeichert und verwaltet <Version> . Wenn der Wert von LastTime weniger als 60 Sekunden beträgt, beendet AutoExec die Ausführung.
• Sammelt die folgenden Systeminformationen und speichert sie im JSON-Format: -- Computername -- Benutzername -- Region -- Monitorauflösung -- Sprache -- Systemversion
• Wartet drei Sekunden, bevor die Unterprozedur getInfo() ausgeführt wird, gemäß Abbildung 5.

getInfo() Sub-Prozedur

Die Unterprozedur getInfo() initiiert die Kommunikation zwischen dem Opfer und dem C2-Server. Das Verfahren erreicht dies, indem die folgenden Vorgänge ausgeführt werden:

• Erstellt ein HTTP-Anforderungsobjekt und sendet einen HTTP-POST an die URL http://38.180.206[.]61/engine.php
• Gemäß Abbildung 7 hat die HTTP-Anfrage die folgenden Merkmale:
  • Content-Type-Header auf application/x-www-form-urlencoded gesetzt
  • User-Agent-Header, der auf eine Base64-codierte ID festgelegt ist, die in beiden Beispielen eindeutig ist
  • POST-Daten im Format opamczqwe=&ywalokmsz=
• Wenn die Antwort des C2-Servers mit "%%%%" beginnt, nimmt die Sub-Prozedur den Rest der Zeichenkette dahinter und verwendet diesen als Argument in der Start-Sub-Prozedur
• Wenn die HTTP-Antwort des Servers nicht mit "%%%%" beginnt, wartet er zehn Sekunden und versucht es erneut, bis er eine Antwort erhält, die mit "%%%%" beginnt
• Das Beispiel d60e54854f2b28c2ce197f8a3b37440dfa8dea18ce7939a356f5503ece9e5eb7 verwendet eine Zählschleife, bei der die gesammelten Daten nur in jedem zehnten HTTP-POST gesendet werden, während das Beispiel 8508003c5aafdf89749d0abbfb9f5deb6d7b615f604bbb11b8702ddba2e365e7 die gesammelten Daten nur beim ersten HTTP-POST sendet

start()-Subprozedur

Die untergeordnete Prozedur start() wird wahrscheinlich verwendet, um zusätzliche VBA auszuführen, die in C2-Antworten bereitgestellt werden. Die Sub-Prozedur erreicht dies, indem sie die folgenden Vorgänge ausführt:

• Die verbleibende C2-Antwort wird aufgeteilt, indem die Zeichenfolge „###“ als Trennzeichen verwendet und die Werte in einem Array gespeichert werden
• Dieses Array von Zeichenfolgen wird als Variablen verwendet, um wahrscheinlich einen Codeblock zu erstellen, der denen ähnelt, die in früheren Word-Dokumenten mit TAG-110-Makros verwendet werden, z. B. 6ac6a0dd78d2e3f58e95fa1a20b3ab22b4b49a1ab816dcfb32fd6864e1969ac3, wie in Abbildung 8 zu sehen
• Die Arraywerte werden verwendet, um ein COM-Objekt zu erstellen (wahrscheinlich WScipt.shell basierend auf einer Codeüberlappung mit früherem VBA-Code, der von TAG-110 verwendet wurde) und in einen Wert in der Registrierung geschrieben
  • Dies ändert wahrscheinlich HKEY_CURRENT_USER\Software\Microsoft\Office\\Word\Security\AccessVBOM in der Registrierung, da diese Taktik in den vorherigen Kampagnen verwendet wurde
  • Diese Registrierungsänderung ermöglicht es VBA-Makros, andere VBA-Projekte zu ändern und auf sie zuzugreifen
• Ein anderes COM-Objekt (wahrscheinlich Word.Application basierend auf einer Codeüberlappung mit dem vorherigen VBA-Code, der von TAG-110 verwendet wurde) startet Microsoft Word im Hintergrund, erstellt ein neues Dokument in dieser Microsoft Word-Instanz, fügt ein VBA-Modul hinzu und führt es nach drei Sekunden aus

Bösartige Infrastruktur

Die Dateien d60e54854f2b28c2ce197f8a3b37440dfa8dea18ce7939a356f5503ece9e5eb7 und 8508003c5aafdf89749d0abbfb9f5deb6d7b615f604bbb11b8702ddba2e365e7 teilen sich denselben C2-Server, 38.180.206[.]61. Diese IP-Adresse wurde zuvor als HATVIBE C2-Server identifiziert und von Sekoia dem TAG-110 zugeordnet. Zum Zeitpunkt der Analyse war die Insikt Group nicht in der Lage, zusätzliche VBA-Module der zweiten Stufe zu beschaffen. Basierend auf den bisherigen Aktivitäten und dem Toolset von TAG-110 ist es jedoch wahrscheinlich, dass ein erfolgreicher Erstzugriff über die makrofähigen Vorlagen zum Einsatz zusätzlicher Malware wie HATVIBE, CHERRYSPY, LOGPIE oder möglicherweise einer neuen, speziell entwickelten Nutzlast führen würde, die für Spionageoperationen entwickelt wurde.

Gegenmaßnahmen

• Überwachen Sie die Erstellung oder Änderung globaler Vorlagendateien im Microsoft Word-Startordner und schlagen Sie Alarm, da dies auf Persistenz-Makromissbrauch hindeuten kann.
• Erkennen und untersuchen Sie Registrierungsänderungen an AccessVBOM unter HKEY_CURRENT_USER\Software\Microsoft\Office<Version>\Word\Security, die auf Versuche hinweisen können, das VBA-Makroverhalten zu aktivieren oder zu manipulieren.
• Deaktivieren Sie standardmäßig Makros in Microsoft Office-Anwendungen und implementieren Sie Gruppenrichtlinienobjekte (GPOs), um zu verhindern, dass Benutzer sie aktivieren, es sei denn, dies wurde ausdrücklich genehmigt.
• Nutzen Sie Recorded Future® Threat Intelligence, um neu auftretende TAG-110-Infrastruktur, Malware-Signaturen und Indikatoren für Phishing-Dokumente zu überwachen.
• Integrieren Sie die Threat Intelligence-Module von Recorded Future in SIEM- und SOAR-Plattformen, um Echtzeitwarnungen zu Aktivitäten im Zusammenhang mit TAG-110 und anderen mit Russland verbundenen Bedrohungsakteuren zu erhalten.

Ausblick

Basierend auf aktuellen und früheren Berichten der Insikt Group hat TAG-110 konsequent Spearphishing-Dokumente mit Makros verwendet, um Malware zu verbreiten und in den Zielumgebungen auf Dauer präsent zu bleiben. Die Insikt Group erwartet, dass TAG-110 weiterhin regionale Ereignisse und Tarnung als bürokratisches Material nutzt, um ihre Köder zu gestalten. Wir erwarten auch, dass die Angriffe auf Einrichtungen, die mit der Regierung, der Verteidigung oder der öffentlichen Infrastruktur in Zentralasien in Verbindung stehen, anhalten werden, insbesondere bei sensiblen Ereignissen wie Wahlen oder militärischen Aktivitäten.

Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.

Anhang A – Indikatoren für eine Gefährdung

Appendix B: MITRE ATT&CK Techniques