Die Russland zugerechnete TAG-110 zielt mit Word-Dokumenten mit Makros auf Tadschikistan ab.

Hinweis: Der Stichtag für die Analyse dieses Berichts war der 24. März 2025.

Executive Summary

Von Januar bis Februar 2025 entdeckte die Insikt Group eine Phishing-Kampagne, die auf Tadschikistan abzielte. Laut der Insikt Group war TAG-110 verantwortlich. TAG-110 ist ein Russland zugerechneter Bedrohungsakteur, bei dem Überlappungen mit UAC-0063 bestehen und der von CERT-UA mit mittlerer Gewissheit mit APT28 (BlueDelta) in Verbindung gebracht wurde. In dieser Kampagne nutzte TAG-110 als tadschikische Regierungsdateien maskierte Dokumente als Lockmittel, was mit der bisherigen Verwendung von trojanisierten legitimen Regierungsdokumenten übereinstimmt, obwohl die Echtheit der aktuellen Beispiele nicht unabhängig verifiziert werden konnte. Diese Dokumente unterschieden sich von denen, die in früheren Kampagnen verwendet wurden (1, 2, 3, 4), da ihnen insbesondere die eingebettete HTA-basierte Nutzlast HATVIBE fehlte, die TAG-110 seit mindestens 2023 einsetzt. In dieser Kampagne hat TAG-110 begonnen, Word-Vorlagendateien mit Makros (.dotm-Dateien) anstelle von HATVIBE für die anfängliche Nutzlast zu verwenden. Angesichts der historischen Ausrichtung von TAG-110 auf öffentliche Einrichtungen in Zentralasien zielt diese Kampagne wahrscheinlich auf Regierungs-, Bildungs- und Forschungseinrichtungen in Tadschikistan ab.

Russlands Zentralasien-Politik konzentriert sich darauf, eine postsowjetische Einflusssphäre zu bewahren, indem es sich in den Kern der Sicherheits-, Wirtschafts- und politischen Architektur der Region einbettet. Die Aktivitäten von TAG-110 stärken weiterhin diese Politik durch nachrichtendienstliche Operationen. Die Insikt Group erwartet, dass TAG‑110 regionale Operationen gegen Regierungsministerien, akademische und Forschungseinrichtungen sowie diplomatische Missionen aufrechterhalten wird, insbesondere gegen solche, die an bevorstehenden Wahlen, Militäroperationen oder anderen Ereignissen beteiligt sind, die der Kreml beeinflussen möchte.

Wichtige Erkenntnisse

• TAG-110 hat seine Spearphishing-Taktiken in den letzten Kampagnen gegen Tadschikistan geändert, da sie nun auf Word-Vorlagen mit Makros (.dotm-Dateien) setzen.
• Diese Kampagne wird TAG-110 zugeschrieben, basierend auf der Wiederverwendung von VBA-Code aus früheren Kampagnen, Überschneidungen in der C2-Infrastruktur und der Verwendung mutmaßlich legitimer Regierungsdokumente als Ködermaterial.
• TAG-110s anhaltende Angriffe auf tadschikische Regierungs-, Bildungs- und Forschungseinrichtungen unterstützen Russlands Strategie, den Einfluss in Zentralasien zu bewahren. Diese Cyberspionageoperationen zielen wahrscheinlich darauf ab, Informationen zu sammeln, um die regionale Politik oder Sicherheit zu beeinflussen, insbesondere bei sensiblen Ereignissen wie Wahlen oder geopolitischen Spannungen.
• Die jüngste Verwendung von Word-Vorlagen mit Makros (.dotm) durch TAG-110, die im Microsoft Word STARTUP-Ordner zur automatischen Ausführung abgelegt werden, verdeutlicht eine taktische Entwicklung, die die Persistenz in den Vordergrund stellt. Organisationen sollten das STARTUP-Verzeichnis von Word auf unbefugte Ergänzungen überwachen und strenge Makrosicherheitsrichtlinien durchsetzen.

Hintergrund

TAG-110 ist ein Russland zugerechneter Bedrohungsakteur, bei dem Überlappungen mit UAC-0063 bestehen und der von CERT-UA mit mittlerer Gewissheit mit APT28 (BlueDelta) in Verbindung gebracht wird. TAG-110 hat seit mindestens 2021 Cyberspionagekampagnen durchgeführt, die sich hauptsächlich gegen Zentralasien richten. Historisch gesehen ist diese Gruppe für die Verwendung von Word-Dokumenten mit Makros bekannt, um bösartige Nutzdaten wie HATVIBE zu liefern, eine HTA-basierte Malware, die für den Erstzugang und die Persistenz entwickelt wurde. Im November 2024 hob die Insikt Group hervor, dass TAG-110 HTA-eingebettete Spearphishing-Anhänge in E-Mails verwendet, die auf diplomatische Einrichtungen in Zentralasien zugeschnitten sind. Die Operationen von TAG-110 wurden von Organisationen wie CERT-UA, BitDefender und Sekoia dokumentiert, wobei die jüngsten Kampagnen auf Einrichtungen in Kasachstan, Usbekistan und anderen zentralasiatischen Staaten abzielten. TAG-110 setzt weiterhin verschiedene maßgefertigte Malware-Familien ein, um Spionageaktivitäten durchzuführen, darunter CHERRYSPY (DownExPyer), LOGPIE und PyPlunderPlug.

Bedrohungsanalyse

Ab Januar 2025 entdeckte die Insikt Group neue TAG-110-Nutzlasten der ersten Stufe, was darauf hindeutete, dass die Bedrohungsakteure ihre Taktiken weiterentwickelten. Zuvor nutzte TAG-110 Word-Dokumente mit Makros, um HATVIBE (eine auf HTA basierende Malware) für den Erstzugriff bereitzustellen. Die neu erkannten Dokumente enthalten nicht die eingebettete HTA HATVIBE-Nutzlast zum Erstellen einer geplanten Aufgabe, sondern verwenden zwecks Persistenz eine globale Vorlagendatei, die im Startordner von Word abgelegt ist.

Dokumentenanalyse

Tabelle 1: Metadaten von d60e54854f2b28c2ce197f8a3b37440dfa8dea18ce7939a356f5503ece9e5eb7 (Quelle: Recorded Future)

Das erste Dokument (Abbildung 1) scheint eine Mitteilung an die Streitkräfte Tadschikistans zu sein, die sich mit der Gewährleistung der Strahlensicherheit befasst. Die maschinelle Übersetzung hat „РТ“ fälschlicherweise als „Republik Tartarstan“ übersetzt. Im weiteren Kontext des Dokuments bezieht sich „PT“ jedoch wahrscheinlich auf die „Republik Tadschikistan“, da später im Dokument „Республика Таджикистан“ anstelle von „PT“ verwendet wird. Die Insikt Group konnte die Echtheit des Dokuments nicht verifizieren, aber TAG-110 hat historisch legitime Dokumente als Köder verwendet.

Abbildung 1: Erste Seite von d60e54854f2b28c2ce197f8a3b37440dfa8dea18ce7939a356f5503ece9e5eb7 und die entsprechende maschinelle Übersetzung (Quelle: Recorded Future)

Tabelle 2: Metadaten von 8508003c5aafdf89749d0abbfb9f5deb6d7b615f604bbb11b8702ddba2e365e7 (Quelle: Recorded Future)

Das zweite Dokument (Abbildung 2) scheint ein Zeitplan für die Wahlen in Duschanbe, der Hauptstadt Tadschikistans, zu sein. Zum Zeitpunkt der Berichterstattung konnte die Insikt Group die Echtheit des Dokuments nicht verifizieren.

Abbildung 2: Erste Seite von 8508003c5aafdf89749d0abbfb9f5deb6d7b615f604bbb11b8702ddba2e365e7 und die entsprechende maschinelle Übersetzung (Quelle: Recorded Future)

VBA Macros

Beide Beispieldateien, d60e54854f2b28c2ce197f8a3b37440dfa8dea18ce7939a356f5503ece9e5eb7 und 8508003c5aafdf89749d0abbfb9f5deb6d7b615f604bbb11b8702ddba2e365e7, haben die gleiche Funktionalität und Command-and-Control-Infrastruktur (C2) gemeinsam, mit nur einer kleinen Änderung in den C2-Kommunikationsmethoden. Abbildung 3 zeigt den Quellcode dieser bösartigen Word-Dokumente.

Abbildung 3: VBA-Makro-Quellcode von 8508003c5aafdf89749d0abbfb9f5deb6d7b615f604bbb11b8702ddba2e365e7 (Quelle: Recorded Future Malware Intelligence)

Analyse von Unterverfahren

Document_Open()-Unterprozedur

Beim Öffnen der schädlichen Datei wird das document.open-Ereignis ausgelöst, und der verbleibende Code wird:

• Den Schutz des Dokuments mit dem Schlüssel „gyjyfyjrtjrtjhfgjfrthrtj“ aufheben.
• Rechtschreibfehler verbergen
• Versuchen, die Schriftlinienstärke auf 0 zu setzen.
• Copy itself to the Word startup folder (%APPDATA%\Microsoft\Word\STARTUP<filename>.dotm) in XML template format with macros enabled for persistence

Abbildung 4: Document_open()Sub-Prozedur von 8508003c5aafdf89749d0abbfb9f5deb6d7b615f604bbb11b8702ddba2e365e7 (Quelle: Recorded Future Malware Intelligence)

AutoExec()-Subprozedur

Sobald das Dokument dem Word-Startordner hinzugefügt wurde, wird es als globale Vorlage behandelt und führt bei jedem Start von Microsoft Word das automatische Makro AutoExec aus. Das AutoExec-Makro führt die folgenden Operationen aus:

• Überprüft, wann Microsoft Word zuletzt gestartet wurde; dies wird gespeichert und verwaltet von der globalen Vorlage im Registrierungsspeicherort HKEY_CURRENT_USER\Software\Microsoft\Office<Version>\Word\Options\LastTime – Wenn der Wert von LastTime weniger als 60 Sekunden beträgt, wird die Ausführung von AutoExec beendet.
• Sammelt die folgenden Systeminformationen und speichert sie im JSON-Format: -- Computername -- Benutzername -- Region -- Monitorauflösung -- Sprache -- Systemversion
• Wartet drei Sekunden, bevor die Unterprozedur getInfo() ausgeführt wird, gemäß Abbildung 5.

Abbildung 5: AutoExec()-Subprozedur von 8508003c5aafdf89749d0abbfb9f5deb6d7b615f604bbb11b8702ddba2e365e7 (Quelle: Recorded Future Malware Intelligence)

getInfo() Sub-Prozedur

Die getInfo()-Unterprozedur initiiert die Kommunikation zwischen dem Opfer und dem C2-Server. Das Verfahren erreicht dies, indem es die folgenden Operationen durchführt:

• Es erstellt ein HTTP-Anforderungsobjekt und führt einen HTTP-POST an die URL http://38.180.206[.]61/engine.php aus.
• Gemäß Abbildung 7 hat die HTTP-Anfrage die folgenden Merkmale:
  • Content-type-Header mit dem Wert application/x-www-form-urlencoded
  • User-Agent-Header mit einer Base64-kodierten ID als Wert, die in beiden Proben einzigartig ist
  • POST-Daten im Format von opamczqwe=&ywalokmsz=
• Wenn die Antwort des C2-Servers mit „%%%%“ beginnt, nimmt die Unterprozedur den Rest der Zeichenfolge danach und verwendet ihn als Argument in der Start-Unterprozedur.
• Falls die HTTP-Antwort des Servers nicht mit „%%%%“ beginnt, wird das System zehn Sekunden warten und es erneut versuchen, bis eine mit „%%%%“ beginnende Antwort eintrifft.
• Die Probe d60e54854f2b28c2ce197f8a3b37440dfa8dea18ce7939a356f5503ece9e5eb7 verwendet eine Zählschleife, bei der die gesammelten Daten nur bei jedem zehnten HTTP-POST gesendet werden, während die Probe 8508003c5aafdf89749d0abbfb9f5deb6d7b615f604bbb11b8702ddba2e365e7 die gesammelten Daten nur beim ersten HTTP-POST sendet.

Abbildung 6: getInfo() -Subprozedur von 8508003c5aafdf89749d0abbfb9f5deb6d7b615f604bbb11b8702ddba2e365e7 (Quelle: Recorded Future)

Abbildung 7: PCAP-Ausgabe eines HTTP-POST von 8508003c5aafdf89749d0abbfb9f5deb6d7b615f604bbb11b8702ddba2e365e7 (Quelle: Recorded Future)

start()-Subprozedur

Die start()-Subprozedur wird wahrscheinlich verwendet, um zusätzlichen VBA-Code auszuführen, der in C2-Antworten bereitgestellt wird. Die Sub-Prozedur erreicht dies, indem sie die folgenden Operationen ausführt:

• Die verbleibende C2-Antwort wird aufgeteilt, indem die Zeichenfolge „###“ als Trennzeichen verwendet und die Werte in einem Array gespeichert werden
• Dieses Array von Zeichenfolgen wird als Variablen verwendet, um wahrscheinlich einen Codeblock zu erstellen, der denen ähnelt, die in früheren Word-Dokumenten mit Makros von TAG-110 verwendet wurden, wie 6ac6a0dd78d2e3f58e95fa1a20b3ab22b4b49a1ab816dcfb32fd6864e1969ac3, wie in Abbildung 8 zu sehen ist
• Die Array-Werte werden verwendet, um ein COM-Objekt zu erstellen (wahrscheinlich WScipt.shell, basierend auf der Codeüberschneidung mit vorherigem VBA-Code, der von TAG-110 verwendet wurde) und in einen Wert in der Registrierung geschrieben
  • Dies ändert wahrscheinlich HKEY_CURRENT_USER\Software\Microsoft\Office\\Word\Security\AccessVBOM in der Registrierung – eine Taktik, die in den vorherigen Kampagnen verwendet wurde
  • Diese Registrierungsänderung ermöglicht es VBA-Makros, andere VBA-Projekte zu ändern und auf sie zuzugreifen
• Ein weiteres COM-Objekt (vermutlich Word.Application basierend auf der Codeüberschneidung mit dem vorherigen von TAG-110 verwendeten VBA-Code) wird Microsoft Word im Hintergrund starten, ein neues Dokument in dieser Microsoft Word-Instanz erstellen, ein VBA-Modul hinzufügen und es nach drei Sekunden ausführen

Abbildung 8: Code-Überschneidung zwischen 6ac6a0dd78d2e3f58e95fa1a20b3ab22b4b49a1ab816dcfb32fd6864e1969ac3 (oben) und 8508003c5aafdf89749d0abbfb9f5deb6d7b615f604bbb11b8702ddba2e365e7 (unten) (Quelle: Recorded Future)

Abbildung 9: start()-Unterprozedur von 8508003c5aafdf89749d0abbfb9f5deb6d7b615f604bbb11b8702ddba2e365e7 (Quelle: Recorded Future)

Bösartige Infrastruktur

Die Dateien d60e54854f2b28c2ce197f8a3b37440dfa8dea18ce7939a356f5503ece9e5eb7 und 8508003c5aafdf89749d0abbfb9f5deb6d7b615f604bbb11b8702ddba2e365e7 nutzen denselben C2-Server, 38.180.206[.]61. Diese IP-Adresse wurde zuvor als HATVIBE C2-Server identifiziert und von Sekoia TAG-110 zugeordnet. Zum Zeitpunkt der Analyse konnte die Insikt Group keine zusätzlichen VBA-Module der zweiten Stufe beschaffen. Jedoch ist es basierend auf den bisherigen Aktivitäten und dem Tool-Set von TAG-110 wahrscheinlich, dass ein erfolgreicher Erstzugriff über die Vorlagen mit Makros zur Bereitstellung zusätzlicher Malware wie HATVIBE, CHERRYSPY, LOGPIE oder möglicherweise einer neuen, speziell für Spionageoperationen entwickelten Nutzlast führen würde.

Gegenmaßnahmen

• Überwachen Sie die Erstellung oder Änderung globaler Vorlagendateien im Microsoft Word-Startordner und schlagen Sie Alarm, da dies auf Persistenz-Makromissbrauch hindeuten kann.
• Erkennen und untersuchen Sie Registrierungsänderungen an AccessVBOM unter HKEY_CURRENT_USER\Software\Microsoft\Office<Version>\Word\Security, die Versuche signalisieren könnten, das Verhalten von VBA-Makros zu aktivieren oder zu manipulieren.
• Deaktivieren Sie standardmäßig Makros in Microsoft Office-Anwendungen und implementieren Sie Gruppenrichtlinienobjekte (GPOs), um zu verhindern, dass Benutzer sie aktivieren, es sei denn, dies wurde ausdrücklich genehmigt.
• Nutzen Sie Recorded Future® Threat Intelligence, um neu auftretende TAG-110-Infrastruktur, Malware-Signaturen und Indikatoren für Phishing-Dokumente zu überwachen.
• Integrieren Sie die Threat Intelligence-Module von Recorded Future in SIEM- und SOAR-Plattformen, um Echtzeitwarnungen zu Aktivitäten im Zusammenhang mit TAG-110 und anderen mit Russland verbundenen Bedrohungsakteuren zu erhalten.

Ausblick

Basierend auf aktuellen und früheren Berichten der Insikt Group hat TAG-110 konsequent Spearphishing-Dokumente mit Makros verwendet, um Malware zu verbreiten und in den Zielumgebungen auf Dauer präsent zu bleiben. Die Insikt Group erwartet, dass TAG-110 weiterhin regionale Ereignisse und Tarnung als bürokratisches Material nutzt, um ihre Köder zu gestalten. Wir erwarten auch, dass die Angriffe auf Einrichtungen, die mit der Regierung, der Verteidigung oder der öffentlichen Infrastruktur in Zentralasien in Verbindung stehen, anhalten werden, insbesondere bei sensiblen Ereignissen wie Wahlen oder militärischen Aktivitäten.

Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.

Anhang A – Indikatoren für eine Gefährdung

Appendix B: MITRE ATT&CK Techniques