Executive Summary

2025年1月から2月にかけて、Insikt Groupはタジキスタンを標的としたフィッシングキャンペーンを検出しました。Insikt Groupはこのキャンペーンを、ロシアと連携する脅威アクターであるTAG-110によるものとしています。TAG-110は、UAC-0063と共通点があり、CERT-UAが中程度の確信度でAPT28（BlueDelta）に関連付けています。このキャンペーンでは、TAG-110は、トロイの木馬化された正規の政府文書を過去に使用してきたことと一致して、タジキスタン政府が主題になっている文書をおとり素材として利用しましたが、現在のサンプルの信憑性を独自に検証することはできませんでした。これらの文書は以前のキャンペーン（1、2、3、4）で使用されたものとは異なり、TAG-110が少なくとも2023年から展開しているHTAベースのペイロードであるHATVIBEが埋め込まれていない点が注目に値します。このキャンペーンでは、TAG-110は初期ペイロードにHATVIBEではなく、Wordマクロ有効テンプレートファイル（.dotmファイル）を使用するようになりました。TAG-110がこれまで中央アジアの公共セクターのエンティティを標的にしてきたことを考慮すると、このキャンペーンはタジキスタンの政府、教育、研究機関を標的にしている可能性が高いと考えられます。

ロシアの中央アジア政策は、地域の安全保障、経済、政治の枠組みの中核に自らを組み込むことで、ポストソビエトの勢力圏を維持することに重点を置いています。TAG-110の活動は、情報収集活動を通じてこの方針を強化し続けています。Insikt Groupは、TAG-110が、特に今後の選挙、軍事作戦、またはクレムリンが支配したいと考えているその他の出来事に関与する政府省庁、学術研究機関、外交使節団に対する地域的な作戦を継続すると予想しています。

主な調査結果

• TAG-110は、最近のタジキスタンに対する攻撃キャンペーンでスピアフィッシングの戦術を変更し、現在はWordマクロ有効テンプレート（.dotm ファイル）を利用しています。
• このキャンペーンは、以前のキャンペーンのルアーで見つかったVBAコードの再利用、C2インフラストラクチャの重複、およびルアーマテリアルとしての正当と疑われる政府文書の使用に基づいて、TAG-110によるものとされています。
• TAG-110は、タジキスタンの政府、教育、研究機関を執拗に標的にし、中央アジアにおける影響力を維持するというロシアの戦略を支援しています。このようなサイバースパイ活動は、特に選挙や地政学的緊張のような慎重に扱われるべきイベント時に、地域の政治や安全保障に影響を与えるための情報収集を目的としていると思われます。
• TAG-110は最近、Microsoft WordのSTARTUPフォルダに配置されたWordマクロ有効テンプレート（.dotm）を自動実行に使用しており、永続性を優先した戦術的進化を強調しています。組織は、Word STARTUPディレクトリを監視して不正な追加がないか確認し、マクロの厳格なセキュリティポリシーを適用する必要があります。

背景

TAG-110はロシアと連携している脅威アクターです。UAC-0063と共通点があり、CERT-UAは、中程度の確信度でAPT28（BlueDelta）に関連付けています。TAG-110は、少なくとも2021年から、主に中央アジアを標的としたサイバースパイ活動を展開しています。歴史的にこのグループは、Wordマクロ有効ドキュメントを使用して、初期アクセスと永続化を目的として設計されたHTAベースのマルウェアであるHATVIBEなど、悪意のあるペイロードを配信することで知られています。2024年11月、Insikt Groupは、中央アジアの外交機関向けに調整された電子メールで、TAG-110がHTAに埋め込まれたスピアフィッシング添付ファイルを使用していることに特に注目しました。TAG-110の活動は、CERT-UA、BitDefender、Sekoiaなどの組織によって記録されており、最近のキャンペーンでは、カザフスタン、ウズベキスタン、その他の中央アジア諸国のエンティティが標的にされています。TAG-110は、CHERRYSPY（DownExPyer）、LOGPIE、PyPlunderPlugなど、さまざまなカスタムマルウェアファミリーを使用してスパイ活動を継続しています。

脅威分析

2025年1月以降、Insikt Groupは新しいTAG-110の第1段階ペイロードを検出しました。これは、脅威アクターが手口を進化させていることを示唆しています。以前、TAG-110はWordマクロ有効ドキュメントを利用して、HTAベースのマルウェアであるHATVIBEを初期のアクセスとして配信していました。新たに検出されたドキュメントには、スケジュールされたタスクを作成するためのHTA HATVIBEペイロードが埋め込まれておらず、代わりにWordのStartupフォルダに配置されたグローバルテンプレートファイルを利用して永続化が図られています。

ドキュメント分析

表1: メタデータ of d60e54854f2b28c2ce197f8a3b37440dfa8dea18ce7939a356f5503ece9e5eb7 (情報源: Recorded Future)

最初のドキュメント（図1）は、放射線安全確保をテーマにしたタジキスタン軍への通知であるように見えます。機械翻訳では「РТ」が「Republic of Tartarstan」（タルタルスタン共和国）と誤って翻訳されていますが、ドキュメント全体の文脈では、文書の後半で「PT」の代わりに「Республика Таджикистан」が使用されているため、「PT」は「タジキスタン共和国」を指す可能性があります。Insikt Groupはドキュメントの真正性を確認できていませんが、TAG-110は過去の履歴で見ると正規の文書をおとりとして使用しています。

表2: メタデータ of 8508003c5aafdf89749d0abbfb9f5deb6d7b615f604bbb11b8702ddba2e365e7 (情報源: Recorded Future)

2番目のドキュメント（図2）は、タジキスタンの首都ドゥシャンベでの選挙に関連するスケジュールのようです。レポート作成時点では、Insikt Groupはこのドキュメントの信憑性を確認できませんでした。

VBA Macros

両方のサンプル ファイル d60e54854f2b28c2ce197f8a3b37440dfa8dea18ce7939a356f5503ece9e5eb7 と 8508003c5aafdf89749d0abbfb9f5deb6d7b615f604bbb11b8702ddba2e365e7 は、C2 通信方式にわずかな変更を加えただけで、同じ機能とコマンド アンド コントロール (C2) インフラストラクチャを共有します。図 3 は、これらの悪意のある Word 文書の情報源コードを示しています。

Subプロシージャの分析

Document_Open() サブプロシージャ

悪意のあるファイルを開くと、document.open イベント がトリガーされ、残りのコードは次のことを行います。

• キー「gyjyfyjrtjrtjhfgjfrthrtj」を使用してドキュメントの保護を解除します。
• スペルミスを隠す
• フォントの線幅を0に設定しようとする
• Copy itself to the Word startup folder (%APPDATA%\Microsoft\Word\STARTUP<filename>.dotm) in XML template format with macros enabled for persistence

AutoExec() サブプロシージャ

文書がWordのスタートアップフォルダに追加されると、グローバルテンプレートとして扱われ、Microsoft Wordを起動するたびに自動マクロAutoExecが実行されます。AutoExecマクロは次の操作を完了します。

• Microsoft Wordが最後に起動した時間を確認します。これは、レジストリの場所 HKEY_CURRENT_USER\ Software\ Microsoft\ Office<Version> \ Word\ Options\ LastTimeのグローバルテンプレートによって保存および管理されます --LastTimeの値が60秒未満の場合、AutoExecは実行を終了します
• 次のシステム情報を収集し、JSON形式で保存： -- コンピュータ名 -- ユーザー名 -- 地域 -- モニター解像度 -- 言語 -- システムバージョン
• 図5に従い、getInfo() Subプロシージャを実行する前に3秒待機します。

getInfo() サブプロシージャ

getInfo() Sub プロシージャは、被害者と C2 サーバー間の通信を開始します。この手順では、次の操作を実行することでこれを実現します。

• HTTP リクエストオブジェクトを作成し、http://38.180.206[.]61/engine.php の URL に HTTP POST を行います
• 図7によると、HTTPリクエストには次のような特徴があります。
  • content-type ヘッダーが application/x-www-form-urlencoded に設定されています
  • 両方のサンプルで一意の Base64 でエンコードされた ID に設定された User-Agent ヘッダー
  • opamczqwe=&ywalokmsz= 形式の POST データ
• C2サーバーの対応が「%%%」で始まる場合、Subプロシージャはその後の文字列の残りの部分を取り、それをstart Subプロシージャの引数として使用します
• サーバのHTTP対応が「%%%%」で始まらない場合は、10秒待機してから「%%%%」で始まる対応が表示されるまで再試行します。
• サンプル d60e54854f2b28c2ce197f8a3b37440dfa8dea18ce7939a356f5503ece9e5eb7 は、収集されたデータが 10 回目の HTTP POST ごとにのみ送信されるカウント ループを使用しますが、サンプル 8508003c5aafdf89749d0abbfb9f5deb6d7b615f604bbb11b8702ddba2e365e7 は、最初の HTTP POST でのみ収集されたデータを送信します。

start() サブプロシージャ

start() Sub プロシージャは、C2 対応で提供されている追加の VBA を実行するために使用される可能性があります。 Sub プロシージャは、次の操作を実行することでこれを実現します。

• 文字列「###」を区切り文字として、残りのC2応答を分割し、値を配列に格納します。
• この文字列の配列は変数として使用され、図 8 に示すように、6ac6a0dd78d2e3f58e95fa1a20b3ab22b4b49a1ab816dcfb32fd6864e1969ac3 など、以前の TAG-110 マクロ対応 Word 文書で使用されていたものと同様のコード ブロックを作成する可能性があります
• 配列値は、COM オブジェクト (TAG-110 で使用された以前の VBA コードからのコードの重複に基づいて WScipt.shell である可能性があります) を作成するために使用され、レジストリの値に書き込まれます
  • これは、この手口、戦術が前のキャンペーンで使用されていたため、レジストリ内の HKEY_CURRENT_USER\Software\Microsoft\Office\\Word\Security\AccessVBOM を変更している可能性があります
  • このレジストリの変更により、VBAマクロが他のVBAプロジェクトを変更およびアクセスできるようになります。
• 別の COM オブジェクト (TAG-110 で使用された以前の VBA コードからのコードの重複に基づく Word.Application の可能性があります) は、バックグラウンドで Microsoft Word を起動し、その Microsoft Word インスタンス内に新しいドキュメントを作成し、VBA モジュールを追加して、3 秒後に実行します

悪意のあるインフラストラクチャ

ファイル d60e54854f2b28c2ce197f8a3b37440dfa8dea18ce7939a356f5503ece9e5eb7 および 8508003c5aafdf89749d0abbfb9f5deb6d7b615f604bbb11b8702ddba2e365e7 は、同じ C2 サーバー 38.180.206[.]61.この IP アドレスは以前、HATVIBE C2 サーバーとして識別され、 Sekoia によって TAG-110 に帰属していました。分析時点では、Insikt Group は追加の第 2 段階 VBA モジュールを入手できませんでした。ただし、TAG-110 の過去のアクティビティとツール セットに基づくと、マクロ対応テンプレートを介した初期アクセスが成功すると、HATVIBE、CHERRYSPY、LOGPIE などの追加のマルウェア、またはスパイ活動用に設計された新しいカスタム開発ペイロードが展開される可能性があります。

軽減策

• Microsoft WordのStartupフォルダ内でのグローバルテンプレートファイルの作成または変更を監視し、（脅威）アラートを発します。これは、マクロの悪用が持続している可能性を示すかもしれません。
• VBA マクロの動作を有効または操作しようとしている可能性がある HKEY_CURRENT_USER\Software\Microsoft\Office<Version>\Word\Security の AccessVBOM に対するレジストリの変更を検出して調査します。
• デフォルトでMicrosoft Officeアプリケーションのマクロを無効にし、グループポリシーオブジェクト（GPO）を実装して、明示的に承認されない限り、ユーザーがマクロを有効にできないようにします。
• Recorded Future® Threat Intelligenceを使用して、新たに出現するTAG-110インフラストラクチャ、マルウェアシグネチャ、フィッシングドキュメントインジケーターを監視します。
• Recorded Future Threat Intelligenceモジュールを、SIEMプラットフォームおよびSOARプラットフォームに統合し、TAG-110やその他のロシアに連携する脅威アクターに関連するアクティビティのリアルタイムアラートを受信します。

今後の展望

Insikt Groupの現在および過去のレポート作成に基づくと、TAG-110はマクロが有効になっているスピアフィッシングドキュメントを一貫して使用してマルウェアを配信し、ターゲット環境に永続性を確立しています。Insikt Groupは、TAG-110が今後も地域のイベントや官僚的なテーマを活用しておとりを作り続けると予測しています。また、中央アジアの政府、防衛、公共インフラストラクチャに関連するエンティティが、特に選挙や軍事活動などの重要なイベントの際に標的にされ続けると予想されます。

分析全文を読むには、ここをクリックしてレポートをPDF形式でダウンロードしてください。

付録A — 侵害を示す指標

Appendix B: MITRE ATT&CK Techniques