Die mehrschichtige TDS-Infrastruktur von TAG-124 und die umfangreiche Benutzerbasis

Stichtag der Analyse: 7. Januar 2025

HINWEIS: Dieser Bericht wurde am 12. Mai 2025 aktualisiert, nachdem festgestellt wurde, dass TAG-124 nicht mit 404TDS in Verbindung steht. Alle Verweise auf 404TDS als Alias, der zu TAG-124 gehört, wurden entfernt.

Executive Summary

Die Insikt Group hat eine mehrschichtige Infrastruktur identifiziert, die mit einem von Recorded Future als TAG-124 verfolgten Verkehrsverteilungssystem (TDS) verbunden ist, das sich mit Bedrohungsaktivitätsclustern überschneidet, die als LandUpdate808, KongTuke und Chaya_002 bekannt sind. TAG-124 umfasst ein Netzwerk kompromittierter WordPress-Websites, von Akteuren kontrollierte Payload-Server, einen zentralen Server, einen mutmaßlichen Verwaltungsserver, ein zusätzliches Panel und andere Komponenten. Die Bedrohungsakteure hinter TAG-124 zeigen ein hohes Maß an Aktivität, einschließlich der regelmäßigen Aktualisierung der in die kompromittierten WordPress-Sites eingebetteten URLs, dem Hinzufügen von Servern, der Verfeinerung der TDS-Logik, um der Erkennung zu entgehen, und der Anpassung von Infektionstaktiken, wie ihre jüngste Implementierung der ClickFix-Technik zeigt.

Die Insikt Group identifizierte mehrere Bedrohungsakteure, die TAG-124 innerhalb ihrer ursprünglichen Infektionsketten verwendeten, darunter Betreiber von Rhysida-Ransomware, Interlock-Ransomware, TA866/Asylum Ambuscade, SocGholish, D3F@CK Loader, TA582 und andere. Bemerkenswerterweise verstärkt die gemeinsame Nutzung von TAG-124 die Verbindung zwischen Rhysida und Interlock-Ransomware, die bereits durch Ähnlichkeiten in Taktiken, Tools, Verschlüsselungsverhalten, Lösegeldthemen, Codeüberschneidungen und Techniken zur Datenexfiltration miteinander verbunden sind. Die Insikt Group erwartet, dass TAG-124 seine Aktivitäten innerhalb des zunehmend ausgefeilteren und spezialisierteren Cyberkriminalitätsökosystems fortsetzen, seine Effektivität steigern und zusätzliche Benutzer und Partner gewinnen wird.

Wichtige Erkenntnisse

• Die Insikt Group hat eine mehrschichtige Infrastruktur identifiziert, die mit einem von TDS verfolgten TAG verbunden ist, der als TAG-124 geführt wird. Diese Infrastruktur umfasst ein Netzwerk kompromittierter WordPress-Websites, wahrscheinlich von Bedrohungsakteuren kontrollierte Payload-Server, einen zentralen Server, einen mutmaßlichen Verwaltungsserver und ein zusätzliches Panel, neben anderen Komponenten.
• Die mit TAG-124 in Verbindung gebrachten Bedrohungsakteure scheinen sehr aktiv zu sein, indem sie regelmäßig URLs auf kompromittierten WordPress-Websites aktualisieren, um der Erkennung zu entgehen, neue Server zu ihrer Infrastruktur hinzufügen und die mit TDS verknüpfte bedingte Logik und Infektionstaktiken verbessern.
• Es wird angenommen, dass mehrere Bedrohungsakteure den Dienst von TAG-124 in ihre anfänglichen Infektionsketten integrieren, darunter die Betreiber von Rhysida-Ransomware, Interlock-Ransomware, TA866/Asylum Ambuscade, SocGholish, D3F@CK Loader, TA582 und andere.
• Während die Ransomware Rhysida und Interlock aufgrund von Ähnlichkeiten in Taktiken, Tools, Verschlüsselungsverhalten, Lösegeldforderungsthemen, Code-Überschneidungen und Datenexfiltrationstechniken miteinander in Verbindung gebracht wurden, verstärkt die gemeinsame Nutzung von TAG-124 diese Verbindung.

Hintergrund

TAG-124, das sich mit LandUpdate808, 404TDS, KongTuke und Chaya_002 überschneidet, ist ein TDS, das zur Verbreitung von Malware im Auftrag verschiedener Bedrohungsakteure verwendet wird, darunter die Betreiber der Rhysida-Ransomware, der Interlock-Ransomware, TA866/Asylum Ambuscade, SocGholish, D3F@CK Loader und TA582 (1, 2, 3).Ein TDS bezieht sich typischerweise auf ein System, das verwendet wird, um den Webverkehr basierend auf Parametern wie Geolokalisierung oder Gerätetyp zu analysieren und umzuleiten. Es leitet nur bestimmte Besucher zu bösartigen Zielen wie Phishing-Seiten, Malware oder Exploit-Kits weiter, während es die Erkennung umgeht und die Kampagnen von Cyberkriminellen optimiert.

Genauer gesagt, operiert TAG-124, indem es schädlichen JavaScript-Code in kompromittierte WordPress-Websites injiziert. Wenn Besucher auf eine infizierte Website zugreifen, laden sie unwissentlich von Angreifern kontrollierte Ressourcen, die darauf abzielen, sie zu manipulieren, damit sie Aktionen ausführen, die zum Herunterladen und Ausführen von Malware führen. TAG-124 täuscht die Opfer häufig, indem es die Malware als ein notwendiges Google Chrome-Browser-Update präsentiert.

In neueren Varianten wurde TAG-124 unter Verwendung der ClickFix-Technik beobachtet. Dieser Ansatz zeigt ein Dialogfeld an, das Besucher anweist, einen Befehl auszuführen, der zuvor in ihre Zwischenablage kopiert wurde. Sobald ein Besucher den Befehl ausführt, wird ein mehrstufiger Prozess gestartet, der die Malware-Nutzlast herunterlädt und ausführt.

Bedrohungsanalyse

TAG-124

Die Insikt Group hat eine mehrschichtige Infrastruktur identifiziert, die mit dem TDS TAG-124 verbunden ist. Diese Infrastruktur umfasst ein Netzwerk kompromittierter WordPress-Sites, wahrscheinlich von Akteuren kontrollierte Payload-Server, einen zentralen Server, dessen genauer Zweck zum Zeitpunkt der Analyse noch unklar ist, einen mutmaßlichen Verwaltungsserver und ein zusätzliches Verwaltungspanel. Wenn Besucher bestimmte Kriterien erfüllen, zeigen die kompromittierten WordPress-Websites gefälschte Google-Chrome-Update-Landingpages an, die letztendlich zu Malware-Infektionen führen, wie im Abschnitt Benutzer von TAG-124 in diesem Bericht beschrieben (siehe Abbildung 1).

Abbildung 1: Der Aufbau der High-Level-Infrastruktur von TAG-124 (Quelle: Recorded Future)

Kompromittierte WordPress-Websites

Die Infrastruktur von TAG-124 besteht aus einem umfangreichen Netzwerk von WordPress-Websites (siehe Appendix A). Diese Websites scheinen kein einheitliches Thema in Bezug auf Branche, Thema oder Geografie zu haben, was darauf hindeutet, dass sie wahrscheinlich opportunistisch durch Exploits oder durch den Erwerb von Zugangsdaten kompromittiert wurden, wie z. B. durch Infostealer erlangt.

WordPress-Websites der ersten Phase in der Erstauslieferung

Die kompromittierten Websites der ersten Stufe in der initialen Auslieferungsphase enthalten typischerweise ein Skript-Tag mit einem async-Attribut an einer beliebigen Stelle im Document Object Model (DOM), das das Laden einer externen JavaScript-Datei parallel zur Seite ermöglicht, um Verzögerungen beim Rendern zu vermeiden (siehe Abbildung 2).

Abbildung 2: Skript-Tag im DOM, das zum Laden einer externen JavaScript-Datei verwendet wird (Quelle: URLScan)

Der JavaScript-Dateiname hat sich im Laufe der Zeit häufig geändert, wobei frühere Namen erkennbaren Mustern folgten (wie metrics.js) und neuere, zufällig formatiert zu sein scheinen, (wie hpms1989.js). Beispielhafte Dateinamen umfassen:

• 3561.js
• 365h.js
• e365r.js
• hpms1989.js
• metrics.js
• nazvanie.js
• web-analyzer.js
• web-metrics.js
• web.js
• wp-config.js
• wp.js

Bemerkenswerterweise scheinen die Bedrohungsakteure die URLs auf den kompromittierten Websites regelmäßig zu aktualisieren. Zum Beispiel hat die Website, die mit www[.]ecowas[.]int verknüpft ist, die URL, die zum Abrufen der JavaScript-Datei verwendet wird, konsequent geändert. Dieses Verhalten deutet darauf hin, dass die Bedrohungsakteure ständigen Zugriff auf diese WordPress-Seiten haben und die URLs, einschließlich der Domain und des JavaScript-Dateinamens, häufig ändern, um einer Entdeckung zu entgehen.

Obwohl viele der kompromittierten WordPress-Websites mit weniger bekannten Organisationen in Verbindung zu stehen scheinen, identifizierte die Insikt Group bemerkenswerte Fälle, darunter eine Subdomain, die mit dem Polish Centre for Testing and Certification verknüpft ist, www[.]pcbc[.]gov[.]pl, und die Domäne der Wirtschaftsgemeinschaft der westafrikanischen Staaten (ECOWAS) (www[.]ecowas[.]int). Beide wurden kompromittiert und in TAG-124-Kampagnen eingesetzt.

WordPress-Websites in der Endphase der Erstauslieferung

Wenn Besucher bestimmte Kriterien erfüllen, die nicht vollständig ermittelt werden konnten, präsentieren die kompromittierten WordPress-Domänen in der Regel gefälschte Google Chrome-Update-Landingpages. Diese Seiten fordern die Benutzer auf, auf eine Download-Schaltfläche zu klicken, wodurch der Download der eigentlichen Nutzlast von bestimmten Endpunkten auf einer zweiten Gruppe kompromittierter WordPress-Websites ausgelöst wird, einschließlich, aber wahrscheinlich nicht beschränkt auf:

• /wp-admin/images/wfgth.php
• /wp-includes/pomo/update.php
• /wp-content/upgrade/update.php
• /wp-admin/images/rsggj.php

Gefälschte Zielseiten für Google Chrome-Updates

Die Insikt Group entdeckte zwei Varianten gefälschter Google Chrome-Update-Landingpages, die mit TAG-124 verknüpft sind (siehe Abbildung 3). Laut URLScan-Anmeldedaten ist Variante 1 schon länger aktiv, wobei die früheste Anmeldung am 24. April 2024 verzeichnet wurde.

Abbildung 3: Gefälschtes Google-Chrome-Update – Variante 1 (links) und 2 (rechts) (Quelle: URLScan, URLScan)

Nur Opfer, die eine spezifische, noch unbekannte Bedingung erfüllen, werden auf die gefälschte Google Chrome Update-Landingpage geleitet, was zur Beobachtung nur einer begrenzten Anzahl von Domains führt (siehe Tabelle 1). Diese Domains können TAG-124 auf der Grundlage der im DOM eingebetteten URLs, der öffentlichen Berichterstattung oder anderer Indikatoren zugeordnet werden. Bemerkenswert ist, dass die Bedrohungsakteure das Wort „referer“ im Abfrageparameter durchweg als „refferer“ falsch schreiben, ein Tippfehler, der bereits in früheren Berichten beobachtet wurde.

Tabelle 1: Wahrscheinlich kompromittierte Websites, die gefälschte Google Chrome-Update-Seiten hosten (Quelle: Recorded Future)

Wahrscheinlich von einem Bedrohungsakteur kontrollierte Domain

Während die in Tabelle 1 aufgeführten Domains wahrscheinlich kompromittiert sind, hat die Insikt Group URLs analysiert, die auf Websites vorhanden sind, die auf zwei weiteren Domains gehostet werden (siehe Tabelle 2). Unsere Analyse legt nahe, dass diese Domains höchstwahrscheinlich mit TAG-124 verbunden sind.

Tabelle 2: Zusätzliche Domains, die über die visuelle Ähnlichkeitssuche gefunden wurden (Quelle: Recorded Future)

Die Domain update-chronne[.]com, hinter Cloudflare gehostet, scheint im Besitz der Bedrohungsakteure zu sein, da sie direkt Google Chrome nachahmt (siehe Abbildung 4). Zum Zeitpunkt der Analyse war die Domain noch aktiv, wurde von Google Search indexiert und hostete die Datei Release.zip, die als REMCOS RAT identifiziert wurde.

Abbildung 4: Landingpage für gefälschte Google-Chrome-Updates auf update-chronne[.]com (Quelle: Recorded Future)

Bemerkenswerterweise leitet die Website, wenn ein Opfer auf die Schaltfläche „Chrome aktualisieren“ klickt, zu downloading[.]bplnetempresas[.]com weiter, die die IP-Adresse 146.70.41[.]191 kombiniert mit drei verschiedenen Ports anzeigt (siehe Abbildung 5). Diese IP-Adresse wurde zuvor mit REMCOS RAT in Verbindung gebracht.

Abbildung 5: Verdächtiger REMCOS RAT C2-Server (Command-and-Control) auf downloading[.]bplnetempresas[.]com (Quelle: Recorded Future)

Zusätzlich hostete die Domain eine Datei namens moc.txt, Enthält ein PowerShell-Skript zum Herunterladen und Ausführen des Inhalts Release.zip (siehe Abbildung 6). Die URL wurde über die verkürzte URL https://wl[.]gl/25dW64 umgeleitet.

Abbildung 6: PowerShell-Skript, das am 12. September 2024 auf https://update-chronne[.]com/moc.txt gehostet wurde (Quelle: URLScan)

Verdächtige Scheinfirma-Website

Beide update-chronne[.]com und downloading[.]bplnetempresas[.]com hostete eine Website, die anscheinend mit „YSOFEL“ in Verbindung steht, bei der es sich um eine brasilianische Organisation zu handeln scheint (siehe Abbildung 7). Im Internet konnten jedoch keine Informationen über diese Organisation gefunden werden, was darauf hindeutet, dass es sich wahrscheinlich um eine fiktive Entität handelt.

Abbildung 7: Eine verdächtige Scheinfirma-Website, die mit einer gefälschten brasilianischen Organisation verbunden ist (Quelle: URLScan)

Insikt Group identifizierte mehrere andere Domains, von denen einige im Abschnitt Kompromittierte WordPress-Websites aufgeführt sind (wie mktgads[.]com), während andere vorgeben, Google zu imitieren (wie check-googlle[.]com) (Siehe Tabelle 3.) Dies deutet darauf hin, dass die Website möglicherweise als "Shell-Website" fungiert, die dazu verwendet werden könnte, Domains altern zu lassen oder Inhalte nur dann anzuzeigen, wenn Besucher bestimmte Kriterien erfüllen.

Tabelle 3: Domains, die mit derselben mutmaßlichen „Shell-Website“ verknüpft sind, die mit der oben genannten gefälschten brasilianischen Organisation verbunden sind (Quelle: Recorded Future)

Es bleibt ungewiss, ob alle Domains in Tabelle 3 bösartig sind oder mit derselben Aktivität verbunden sind. Jedoch machen das gemeinsame Hosting derselben Website, die Nachahmung anderer Marken (wie ChainList) und die teilweise Überprüfung von Links auf Infektionen machen sie zumindest verdächtig.

TAG-124 Delivery-Server

TAG-124 nutzt kompromittierte WordPress-Websites für verschiedene Komponenten seiner Infektionsketten. Die in die DOMs dieser kompromittierten WordPress-Websites der ersten Stufe eingebetteten Server, wie im Abschnitt 'WordPress-Websites der ersten Stufe in der Erstauslieferung' beschrieben, sind wahrscheinlich im Besitz der Bedrohungsakteure. Die Insikt Group hat ein bedeutendes Netzwerk von Servern identifiziert, die mit den TAG-124-Bedrohungsakteuren verbunden sind und wahrscheinlich von diesen kontrolliert werden (siehe Tabelle 4).

Tabelle 4: Wahrscheinlich von Bedrohungsakteuren kontrollierte TAG-124-Lieferserver (Quelle: Recorded Future)

Die meisten Domains wurden ab November 2024 aufgelöst, was darauf hindeutet, dass TAG-124 in diesem Zeitraum an Dynamik gewann, wobei die Mehrheit der Domains zum Zeitpunkt der Analyse noch aktiv war. Bemerkenswert ist, dass zwei Domains, die auf 45[.]61[.]136[.]67 gehostet werden, nämlich piedsmontlaw[.]com und pemalite[.]com, bereits im Jahr 2022 zu dieser IP-Adresse aufgelöst wurden, was darauf hindeutet, dass der Server zu dieser Zeit möglicherweise bereits unter der Kontrolle des Bedrohungsakteurs stand.

Vermutete Infrastruktur höherer Ebene

Die Mehrheit der mutmaßlich von Bedrohungsakteuren kontrollierten TAG-124-Zustellungsserver, wie im Abschnitt TAG-124-Zustellungsserver aufgeführt, wurde bei der Kommunikation mit einem Server über TCP-Port 443 beobachtet (siehe Abbildung 1). Die Konfigurationen dieses Servers ähneln denen der Bereitstellungsserver und hosten eine Domain, die beim Zugriff nur eine generische HTML-Seite zurückgibt. Zum Zeitpunkt der Analyse konnte die Insikt Group den genauen Zweck dieses Servers nicht ermitteln, vermutet aber, dass er eine zentrale Rolle im Betrieb spielt. Eine Möglichkeit besteht darin, dass es die Kernlogik des TDS enthält.

Darüber hinaus identifizierte die Insikt Group einen mutmaßlichen Verwaltungsserver, der mit TAG-124 verknüpft ist. Es wurde beobachtet, dass dieser Server über die TCP-Ports 80 und 443 mit den Zustellservern kommuniziert. Er hat auch mit einem anderen Panel interagiert, das mit TAG-124 verbunden ist und als „Ads Panel“ bezeichnet wird, dessen Zweck es unter anderem ist, den neuesten Zustellserver über einen bestimmten Endpunkt bereitzustellen (siehe Abbildung 1).

Anhang A – Indikatoren für eine Gefährdung

Anhang B – Mitre ATT&CK-Techniken