ロシアと連携しているTAG-110は、Wordマクロ有効文書でタジキスタンを標的化

注：本レポートの分析は2025年3月24日を基準としています。

Executive Summary

2025年1月から2月にかけて、Insikt Groupはタジキスタンを標的としたフィッシングキャンペーンを検出しました。Insikt Groupはこのキャンペーンを、ロシアと連携する脅威アクターであるTAG-110によるものとしています。TAG-110は、UAC-0063と共通点があり、CERT-UAが中程度の確信度でAPT28（BlueDelta）に関連付けています。このキャンペーンでは、TAG-110は、トロイの木馬化された正規の政府文書を過去に使用してきたことと一致して、タジキスタン政府が主題になっている文書をおとり素材として利用しましたが、現在のサンプルの信憑性を独自に検証することはできませんでした。これらの文書は以前のキャンペーン（1、2、3、4）で使用されたものとは異なり、TAG-110が少なくとも2023年から展開しているHTAベースのペイロードであるHATVIBEが埋め込まれていない点が注目に値します。このキャンペーンでは、TAG-110は初期ペイロードにHATVIBEではなく、Wordマクロ有効テンプレートファイル（.dotmファイル）を使用するようになりました。TAG-110がこれまで中央アジアの公共セクターのエンティティを標的にしてきたことを考慮すると、このキャンペーンはタジキスタンの政府、教育、研究機関を標的にしている可能性が高いと考えられます。

ロシアの中央アジア政策は、地域の安全保障、経済、政治の枠組みの中核に自らを組み込むことで、ポストソビエトの勢力圏を維持することに重点を置いています。TAG-110の活動は、情報収集活動を通じてこの方針を強化し続けています。Insikt Groupは、TAG-110が、特に今後の選挙、軍事作戦、またはクレムリンが支配したいと考えているその他の出来事に関与する政府省庁、学術研究機関、外交使節団に対する地域的な作戦を継続すると予想しています。

主な調査結果

• TAG-110は、最近のタジキスタンに対する攻撃キャンペーンでスピアフィッシングの戦術を変更し、現在はWordマクロ有効テンプレート（.dotm ファイル）を利用しています。
• このキャンペーンは、以前のキャンペーンのルアーで見つかったVBAコードの再利用、C2インフラストラクチャの重複、およびルアーマテリアルとしての正当と疑われる政府文書の使用に基づいて、TAG-110によるものとされています。
• TAG-110は、タジキスタンの政府、教育、研究機関を執拗に標的にし、中央アジアにおける影響力を維持するというロシアの戦略を支援しています。このようなサイバースパイ活動は、特に選挙や地政学的緊張のような慎重に扱われるべきイベント時に、地域の政治や安全保障に影響を与えるための情報収集を目的としていると思われます。
• TAG-110は最近、Microsoft WordのSTARTUPフォルダに配置されたWordマクロ有効テンプレート（.dotm）を自動実行に使用しており、永続性を優先した戦術的進化を強調しています。組織は、Word STARTUPディレクトリを監視して不正な追加がないか確認し、マクロの厳格なセキュリティポリシーを適用する必要があります。

背景

TAG-110はロシアと連携している脅威アクターです。UAC-0063と共通点があり、CERT-UAは、中程度の確信度でAPT28（BlueDelta）に関連付けています。TAG-110は、少なくとも2021年から、主に中央アジアを標的としたサイバースパイ活動を展開しています。歴史的にこのグループは、Wordマクロ有効ドキュメントを使用して、初期アクセスと永続化を目的として設計されたHTAベースのマルウェアであるHATVIBEなど、悪意のあるペイロードを配信することで知られています。2024年11月、Insikt Groupは、中央アジアの外交機関向けに調整された電子メールで、TAG-110がHTAに埋め込まれたスピアフィッシング添付ファイルを使用していることに特に注目しました。TAG-110の活動は、CERT-UA、BitDefender、Sekoiaなどの組織によって記録されており、最近のキャンペーンでは、カザフスタン、ウズベキスタン、その他の中央アジア諸国のエンティティが標的にされています。TAG-110は、CHERRYSPY（DownExPyer）、LOGPIE、PyPlunderPlugなど、さまざまなカスタムマルウェアファミリーを使用してスパイ活動を継続しています。

脅威分析

2025年1月以降、Insikt Groupは新しいTAG-110の第1段階ペイロードを検出しました。これは、脅威アクターが手口を進化させていることを示唆しています。以前、TAG-110はWordマクロ有効ドキュメントを利用して、HTAベースのマルウェアであるHATVIBEを初期のアクセスとして配信していました。新たに検出されたドキュメントには、スケジュールされたタスクを作成するためのHTA HATVIBEペイロードが埋め込まれておらず、代わりにWordのStartupフォルダに配置されたグローバルテンプレートファイルを利用して永続化が図られています。

ドキュメント分析

表1： d60e54854f2b28c2ce197f8a3b37440dfa8dea18ce7939a356f5503ece9e5eb7のメタデータ（情報源：Recorded Future）

最初のドキュメント（図1）は、放射線安全確保をテーマにしたタジキスタン軍への通知であるように見えます。機械翻訳では「РТ」が「Republic of Tartarstan」（タルタルスタン共和国）と誤って翻訳されていますが、ドキュメント全体の文脈では、文書の後半で「PT」の代わりに「Республика Таджикистан」が使用されているため、「PT」は「タジキスタン共和国」を指す可能性があります。Insikt Groupはドキュメントの真正性を確認できていませんが、TAG-110は過去の履歴で見ると正規の文書をおとりとして使用しています。

図1： d60e54854f2b28c2ce197f8a3b37440dfa8dea18ce7939a356f5503ece9e5eb7の最初のページと、対応する機械翻訳（情報源：Recorded Future）

表2：8508003c5aafdf89749d0abbfb9f5deb6d7b615f604bbb11b8702ddba2e365e7のメタデータ（情報源：Recorded Future）

2番目のドキュメント（図2）は、タジキスタンの首都ドゥシャンベでの選挙に関連するスケジュールのようです。レポート作成時点では、Insikt Groupはこのドキュメントの信憑性を確認できませんでした。

図2：8508003c5aafdf89749d0abbfb9f5deb6d7b615f604bbb11b8702ddba2e365e7の最初のページと、対応する機械翻訳（情報源：Recorded Future）

VBA Macros

d60e54854f2b28c2ce197f8a3b37440dfa8dea18ce7939a356f5503ece9e5eb7と8508003c5aafdf89749d0abbfb9f5deb6d7b615f604bbb11b8702ddba2e365e7の両方のサンプルファイルは、同じ機能とコマンド＆コントロール（C2）インフラストラクチャを共有しており、C2通信方法にわずかな変更があるだけです。図3は、これらの悪質なWordドキュメントのソースコードを示しています。

図3：8508003c5aafdf89749d0abbfb9f5deb6d7b615f604bbb11b8702ddba2e365e7のVBAマクロソースコード（情報源：Recorded Future Malware Intelligence）

Subプロシージャの分析

Document_Open() サブプロシージャ

悪意のあるファイルを開くと、document.openイベントがトリガーされ、残りのコードは次の処理を行います。

• キー「gyjyfyjrtjrtjhfgjfrthrtj」を使用してドキュメントの保護を解除する
• スペルミスを隠す
• フォントの線幅を0に設定しようとする
• Copy itself to the Word startup folder (%APPDATA%\Microsoft\Word\STARTUP<filename>.dotm) in XML template format with macros enabled for persistence

図4：8508003c5aafdf89749d0abbfb9f5deb6d7b615f604bbb11b8702ddba2e365e7のDocument_open() Subプロシージャ（情報源：Recorded Future Malware Intelligence）

AutoExec() サブプロシージャ

ドキュメントがWordのStartupフォルダに追加されると、そのドキュメントはグローバルテンプレートとして扱われ、Microsoft Wordが起動するたびに自動マクロのAutoExecが実行されます。AutoExecマクロは、次の操作をすべて実行します。

• Microsoft Wordが最後に起動された時刻を確認：これは、レジストリの場所がHKEY_CURRENT_USER\Software\Microsoft\Office<Version>\Word\Options\LastTimeであるグローバルテンプレートによって保存および管理されます。LastTimeの値が60秒未満の場合、AutoExecは実行を終了します。
• 次のシステム情報を収集し、JSON形式で保存： -- コンピュータ名 -- ユーザー名 -- 地域 -- モニター解像度 -- 言語 -- システムバージョン
• 図5に従い、getInfo() Subプロシージャを実行する前に3秒待機します。

図5：8508003c5aafdf89749d0abbfb9f5deb6d7b615f604bbb11b8702ddba2e365e7のAutoExec() Subプロシージャ（情報源：Recorded Future Malware Intelligence）

getInfo() サブプロシージャ

getInfo() Subプロシージャは、被害者とC2サーバー間の通信を開始します。このプロシージャは、次の操作を完了することでこれを達成します。

• HTTPリクエストオブジェクトを作成し、URL「http://38.180.206[.]61/engine.php」にHTTP POSTを実行します。
• 図7によると、HTTPリクエストには次のような特徴があります。
  • Content-typeヘッダーを、application/x-www-form-urlencoded に設定
  • User-Agentヘッダーを、両方のサンプルで一意のBase64でエンコードされたIDに設定
  • POSTデータは、opamczqwe=&ywalokmsz= の形式
• C2サーバーの応答が「%%%%」で始まる場合、Subプロシージャはその後の文字列の残りの部分を取得し、それをstart Subプロシージャの引数として使用します。
• サーバーのHTTP応答が「%%%%」で始まっていない場合、10秒間待機し、「%%%%」で始まる応答が返されるまで再試行します。
• サンプル d60e54854f2b28c2ce197f8a3b37440dfa8dea18ce7939a356f5503ece9e5eb7 はカウントループを使用し、収集されたデータはHTTP POSTの10回目ごとにのみ送信されます。一方、サンプル 8508003c5aafdf89749d0abbfb9f5deb6d7b615f604bbb11b8702ddba2e365e7 は、最初のHTTP POSTでのみ収集されたデータを送信します。

図6：8508003c5aafdf89749d0abbfb9f5deb6d7b615f604bbb11b8702ddba2e365e7のgetInfo() Subプロシージャ（情報源：Recorded Future）

図7：8508003c5aafdf89749d0abbfb9f5deb6d7b615f604bbb11b8702ddba2e365e7からのHTTP POSTのPCAP出力（情報源：Recorded Future）

start() サブプロシージャ

start() Subプロシージャは、C2応答で提供される追加のVBAを実行するために使用される可能性があります。Subプロシージャは、以下の操作を完了することによってこれを達成します。

• 文字列「###」を区切り文字として、残りのC2応答を分割し、値を配列に格納します。
• この文字列の配列は変数として使用され、図8に示すように、6ac6a0dd78d2e3f58e95fa1a20b3ab22b4b49a1ab816dcfb32fd6864e1969ac3など、以前のTAG-110のWordマクロ有効文書で使用されていたものと同様のコードブロックが作成される可能性があります。
• 配列の値は、COMオブジェクト（TAG-110で使用されていた以前のVBAコードからのコードのオーバーラップに基づくWScript.shellの可能性が高い）を作成するために使用され、レジストリの値に書き込まれます。
  • これはおそらくHKEY_CURRENT_USER\Software\Microsoft\Office\\Word\Security\AccessVBOMをレジストリで変更している可能性があります。この手口は以前のキャンペーンでも使用されていました。
  • このレジストリの変更により、VBAマクロが他のVBAプロジェクトを変更およびアクセスできるようになります。
• 別のCOMオブジェクト（TAG-110で使用されていた以前のVBAコードからのコードのオーバーラップに基づくWord.Applicationの可能性が高い）は、バックグラウンドでMicrosoft Wordを起動し、そのMicrosoft Wordインスタンス内に新しいドキュメントを作成し、VBAモジュールを追加して、3秒後にそのモジュールを実行します

図8：6ac6a0dd78d2e3f58e95fa1a20b3ab22b4b49a1ab816dcfb32fd6864e1969ac3（上）と8508003c5aafdf89749d0abbfb9f5deb6d7b615f604bbb11b8702ddba2e365e7（下）のコードのオーバーラップ（情報源：Recorded Future）

図9：8508003c5aafdf89749d0abbfb9f5deb6d7b615f604bbb11b8702ddba2e365e7のstart() Subプロシージャ（情報源：Recorded Future）

悪意のあるインフラストラクチャ

ファイル d60e54854f2b28c2ce197f8a3b37440dfa8dea18ce7939a356f5503ece9e5eb7 と 8508003c5aafdf89749d0abbfb9f5deb6d7b615f604bbb11b8702ddba2e365e7 は同じC2サーバーの38.180.206[.]61を共有しています。このIPアドレスは以前、HATVIBE C2サーバーとして識別され、Sekoiaは、TAG-110に帰属していると考えました。分析の時点では、Insikt Groupは追加の第2段階VBAモジュールを入手できませんでした。しかし、TAG-110の過去の活動とツールセットに基づくと、マクロ有効テンプレートを介した初期アクセスが成功した場合、HATVIBE、CHERRYSPY、LOGPIE、またはスパイ活動用に設計された新しいカスタム開発のペイロードなどの追加マルウェアが展開される可能性があります。

軽減策

• Microsoft WordのStartupフォルダ内でのグローバルテンプレートファイルの作成または変更を監視し、（脅威）アラートを発します。これは、マクロの悪用が持続している可能性を示すかもしれません。
• HKEY_CURRENT_USER\Software\Microsoft\Office<Version>\Word\Securityの下で、AccessVBOMへのレジストリ変更を検出して調査します。これは、VBAマクロの動作を有効にしたり操作したりしようとする試みを示している可能性があります。
• デフォルトでMicrosoft Officeアプリケーションのマクロを無効にし、グループポリシーオブジェクト（GPO）を実装して、明示的に承認されない限り、ユーザーがマクロを有効にできないようにします。
• Recorded Future® Threat Intelligenceを使用して、新たに出現するTAG-110インフラストラクチャ、マルウェアシグネチャ、フィッシングドキュメントインジケーターを監視します。
• Recorded Future Threat Intelligenceモジュールを、SIEMプラットフォームおよびSOARプラットフォームに統合し、TAG-110やその他のロシアに連携する脅威アクターに関連するアクティビティのリアルタイムアラートを受信します。

今後の展望

Insikt Groupの現在および過去のレポート作成に基づくと、TAG-110はマクロが有効になっているスピアフィッシングドキュメントを一貫して使用してマルウェアを配信し、ターゲット環境に永続性を確立しています。Insikt Groupは、TAG-110が今後も地域のイベントや官僚的なテーマを活用しておとりを作り続けると予測しています。また、中央アジアの政府、防衛、公共インフラストラクチャに関連するエンティティが、特に選挙や軍事活動などの重要なイベントの際に標的にされ続けると予想されます。

分析全文を読むには、ここをクリックしてレポートをPDF形式でダウンロードしてください。

付録A — 侵害を示す指標

Appendix B: MITRE ATT&CK Techniques