Zusammenfassung

Die Insikt Group von Recorded Future hat eine mutmaßliche Cyber-Spionage-Kampagne von TAG-100 identifiziert, die sich gegen globale Regierungs- und Privatorganisationen richtet. TAG-100 nutzte internetfähige Geräte und verwendete Open-Source-Tools wie die Go-Backdoor Pantegana. Die Kampagne betraf zwei zwischenstaatliche Organisationen im asiatisch-pazifischen Raum und zielte auf zahlreiche diplomatische und Handelseinrichtungen ab.

TAG-100 nutzt Open-Source-Tools für mutmaßliche globale Spionagekampagne und gefährdet damit zwei zwischenstaatliche Organisationen im asiatisch-pazifischen Raum

TAG-100 nutzt Open-Source-Fernzugriffsfunktionen und nutzt verschiedene mit dem Internet verbundene Geräte, um ersten Zugriff zu erhalten. Diese Aktivität unterstreicht den zunehmenden Trend zur Cyber-Spionage unter Verwendung von Open-Source-Tools, was es weniger fähigen Bedrohungsakteuren leichter macht und den Bedarf an maßgeschneiderten Funktionen reduziert. Zwei große zwischenstaatliche Organisationen im asiatisch-pazifischen Raum sowie zahlreiche diplomatische, Handels- und private Einrichtungen weltweit wurden wahrscheinlich durch TAG-100 kompromittiert.

Wichtige Erkenntnisse

• TAG-100 hat Organisationen in mindestens zehn Ländern in Afrika, Asien, Nordamerika, Südamerika und Ozeanien kompromittiert.
• Die Gruppe nutzte nach der Ausnutzung die Open-Source-Go-Backdoors Pantegana und SparkRAT .
• TAG-100 zielte auf verschiedene internetbasierte Produkte ab, darunter Citrix NetScaler, F5 BIG-IP, Zimbra, Microsoft Exchange, SonicWall, Cisco ASA, Palo Alto Networks GlobalProtect und Fortinet FortiGate.
• Nach der Veröffentlichung eines PoC-Exploits für die Sicherheitslücke CVE-2024-3400 in der GlobalProtect-Firewall von Palo Alto Networks führte TAG-100 Aufklärungskampagnen durch und versuchte, die Sicherheitslücke bei Dutzenden von US-amerikanischen Organisationen auszunutzen.

Auswirkungen und Folgen

Die Ausnutzung anfälliger internetfähiger Geräte durch TAG-100 ist aufgrund der eingeschränkten Sichtbarkeit und Protokollierungsfunktionen dieser Geräte besonders besorgniserregend. Dadurch wird das Risiko einer Entdeckung nach dem Missbrauch verringert und das Unternehmen ist Betriebsausfallzeiten, Reputationsschäden und Bußgeldern ausgesetzt. Der Einsatz von Open-Source-Tools ermöglicht es staatlich geförderten Bedrohungsakteuren außerdem, Cyber-Operationen an weniger fähige Gruppen auszulagern, was die Intensität und Häufigkeit von Angriffen auf Unternehmensnetzwerke erhöht.

Gegenmaßnahmen

Organisationen sollten:

• Konfigurieren Sie Systeme zur Angriffserkennung und -prävention, um vor verdächtigen IP-Adressen und Domänen zu warnen und diese zu blockieren.
• Stellen Sie eine Sicherheitsüberwachung für alle nach außen gerichteten Dienste und Geräte sicher.
• Priorisieren Sie das Patchen von Schwachstellen, insbesondere von solchen, die in freier Wildbahn ausgenutzt werden.
• Implementieren Sie Netzwerksegmentierung und Multi-Faktor-Authentifizierung.
• Verwenden Sie das Threat Intelligence-Modul „Recorded Future ® um bösartige Infrastrukturen wie Pantegana-, SparkRAT- und Cobalt Strike Command-and-Control-Server (C2) in Echtzeit zu erkennen und zu blockieren.
• Das Recorded Future ® Third-Party Intelligence- Modul unterstützt bei der Überwachung von Echtzeitausgaben, um mutmaßliche Eindringlingsaktivitäten zu identifizieren, an denen wichtige Anbieter und Partner beteiligt sind.
• Durch die Überwachung der Malicious Traffic Analysis (MTA) können Recorded Future-Clients die an der Kommunikation mit bekannten TAG-100 C2-IP-Adressen beteiligte Infrastruktur proaktiv alarmieren und überwachen.

Ausblick

Die Aktivitäten von TAG-100 verdeutlichen die anhaltende Bedrohung für internetfähige Geräte. Sowohl finanziell motivierte als auch staatlich geförderte Bedrohungsakteure werden diese Schwachstellen wahrscheinlich auch weiterhin ausnutzen. Die Regierungen der USA und des Vereinigten Königreichs arbeiten an der Verbesserung der Sicherheit, doch anfällige Netzwerkränder bleiben weiterhin ein erhebliches Risiko. Finanziell motivierte und staatlich geförderte Bedrohungsakteure werden diese Schwachstellen wahrscheinlich auch weiterhin ausnutzen.

Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.