Kwa takriban miaka mitatu tangu vita vikubwa nchini Ukraine vianze, watetezi wa mtandao wameripoti kuongezeka kwa idadi ya operesheni za kukera zenye mwelekeo wa Urusi zinazolenga mashirika ya Kiukreni kukusanya taarifa za kijasusi, huku mashambulizi yakizidi kupanua wigo wao wa kijiografia. Kundi la udukuzi linaloungwa mkono na Urusi linalofuatiliwa kama TAG-110 au UAC-0063 limezingatiwa nyuma ya kampeni inayoendelea ya kijasusi mtandaoni dhidi ya mashirika ya Asia ya Kati, Asia Mashariki na Ulaya. Wapinzani hutumia zana hasidi za HATVIBE na CHERRYSPY ili kulenga hasa mashirika ya serikali, mashirika ya haki za binadamu na sekta ya elimu. Kugundua TAG-110 (UAC-0063) Hushambulia HATVIBE na CHERRYSPY Kundi linaloshirikiana na Urusi la TAG-110 limesalia amilifu katika mazingira ya tishio la mtandao, likitumia Ukraine kama uwanja wa majaribio kwa mbinu na mbinu mpya za mashambulizi. Mbinu hizi mbovu zilizothibitishwa zinatumika zaidi kwa malengo ya kimataifa ya maslahi kwa serikali ya Moscow. Uwezo wa kikundi kujaribu zana mbalimbali za adui na kutumia vijidudu mbalimbali vya maambukizi wakati wa hatua za awali za mashambulizi unaonyesha umuhimu wa mikakati ya kujilinda. Mfumo wa SOC Prime kwa ajili ya ulinzi wa mtandao wa pamoja hutoa mkusanyiko unaofaa wa kanuni za ugunduzi unaoungwa mkono na safu kamili ya bidhaa ya Utambuzi wa Tishio wa Hali ya Juu, Uwindaji wa Tishio Kiotomatiki, na uhandisi wa Ugunduzi unaoendeshwa na AI, kusaidia mashirika kugundua uingiliaji mapema na kuimarisha mkao wao wa usalama wa mtandao. Gusa kitufe cha Gundua Utambuzi kilicho hapa chini ili kufikia mkusanyiko wa ugunduzi unaoshughulikia mashambulizi ya hivi punde ya TAG-110 dhidi ya Asia na Ulaya kwa kutumia HATVIBE na programu hasidi ya CHERRYSPY. Kanuni zote za ugunduzi zimechorwa kwenye mfumo wa MITER ATT&CK®, ulioboreshwa kwa CTI na metadata inayoweza kutekelezeka, na ziko tayari kutumwa katika suluhu 30+ za SIEM, EDR na Data Lake. Gundua Ugunduzi Ili kuchanganua shughuli za kikundi za TAG-110 (yajulikanayo kama UAC-0063) kwa kuangalia nyuma na kupata muktadha zaidi kuhusu TTP zinazotumiwa katika mashambulizi, watetezi wa mtandao wanaweza pia kufikia mkusanyiko maalum wa sheria za Sigma kwa kutafuta Soko la Kugundua Tishio kwa lebo ya “UAC-0063”. TAG-110 aka UAC-0063 Uchambuzi wa Mashambulizi Unaoeneza HATVIBE na CHERRYSPY Watafiti Malware kutoka Insikt Group hivi majuzi waligundua nguzo ya shughuli ya TAG-110, ambayo imekuwa ikifanya shughuli za kukera mtandao tangu angalau 2021. Kikundi kimeonyesha mwingiliano na UAC-0063, kufuatiliwa na CERT-UA ya Ukraine, na ina uwezekano wa kuhusishwa na Kikundi cha udukuzi cha APT28 (UAC-0001). Mwisho unahusishwa moja kwa moja na Kurugenzi Kuu ya Wafanyikazi Mkuu wa Vikosi vya Wanajeshi wa Urusi. Katika kampeni ya hivi punde zaidi, TAG-110 inashambulia mashirika katika Asia ya Kati, Asia Mashariki na Ulaya. Watetezi wametambua wahasiriwa 60+ kutoka nchi kumi na moja, ikijumuisha matukio muhimu nchini Kazakhstan, Kyrgyzstan na Uzbekistan. Shughuli za kikundi hicho huenda ni sehemu ya mkakati mpana wa Urusi wa kukusanya taarifa za kijasusi kuhusu matukio ya kisiasa ya kijiografia na kuwa na ushawishi katika maeneo ya baada ya Usovieti. Katika mashambulizi yanayoendelea, wapinzani hutumia zana maalum za programu hasidi zinazoitwa HATVIBE na CHERRYSPY. HATVIBE hutumika kama kipakiaji maalum cha programu ya HTML ili kuwasilisha CHERRYSPY, mlango wa nyuma wa Python ulioundwa kwa ajili ya wizi wa data na ujasusi. Ufikiaji wa awali hupatikana kupitia vekta ya mashambulizi ya hadaa au kwa kutumia udhaifu katika huduma zinazohusu wavuti kama vile Seva ya Faili ya Rejetto HTTP. HATVIBE hudumisha uvumilivu kwa kutumia kazi zilizoratibiwa zinazotekelezwa kupitia matumizi ya mshta.exe. Inatumia njia za ufiche kama vile usimbaji wa VBScript na usimbaji fiche wa XOR. Baada ya kutumwa, huwasiliana na seva za C2 kupitia maombi ya HTTP PUT, kutuma taarifa muhimu za mfumo. CHERRYSPY huboresha HATVIBE kwa kuwezesha utaftaji salama wa data. Inatumia mbinu dhabiti za usimbaji fiche, kama vile RSA na AES, kuwasiliana na seva zake za C2. TAG-110 hutumia CHERRYSPY kufuatilia mifumo ya waathiriwa na kutoa data nyeti, ikilenga serikali na mashirika ya utafiti. Hasa, katikati ya msimu wa joto wa 2024, UAC-0063 ilikuwa ikifanya majaribio na sampuli hasidi sawa na ilichukua hatari inayojulikana ya HFS HTTP File Server katika mashambulizi dhidi ya taasisi za utafiti za Ukrainia. Hapo awali, Mei 2024, kikundi kililenga mashirika nchini Ukrainia, Asia ya Kati na Mashariki, Israel na India kupitia barua pepe za udanganyifu. Ili kupunguza TAG-110 na vitisho sawa na hivyo, mashirika yanashauriwa kubatilisha dosari za usalama kwa wakati ili kupunguza hatari za matumizi mabaya, kutekeleza uthibitishaji wa vipengele vingi na safu nyingine za ziada za ulinzi wa usalama, na kuboresha ufahamu wa usalama mtandaoni. Vikundi vya APT vinavyoungwa mkono na taifa vinaendelea kufanya kampeni za kisasa ili kufikia malengo yao ya kimkakati na kukusanya akili, kuimarisha hatua za ulinzi wa mtandao ni muhimu kwa mashirika duniani kote. Huku TAG-110 ikiwa na uwezekano wa kudumisha shughuli zake za ujasusi wa mtandaoni dhidi ya mataifa ya Asia ya Kati ya baada ya Sovieti, Ukrainia, na washirika wake, mashirika yanayoendelea yanatafuta suluhu za siku zijazo ili kujilinda dhidi ya mashambulizi ya mtandaoni ya TAG-110. Ili kusaidia kulinda mashirika katika wima nyingi za tasnia dhidi ya mashambulio ya APT na vitisho muhimu vya ustaarabu wowote, SOC Prime inasimamia safu kamili ya bidhaa kwa uhandisi wa ugunduzi unaoendeshwa na AI, uwindaji wa vitisho otomatiki, na ugunduzi wa hali ya juu wa tishio kama suluhu ya kisasa ya biashara. kwa kuimarisha ulinzi kwa kiwango. SOC Prime pia hudhibiti ofa ya muda mfupi ya Uwindaji wa Tishio la Kuanza na Ugunduzi iliyoundwa iliyoundwa kwa ajili ya mashirika na biashara za MSSP/MDR. URL ya Chapisho Halisi: https://socprime.com/blog/hatvibe-and-cherryspy-malware-detection/Kategoria & Lebo: Blogu,Vitisho vya Hivi Punde,Cyberattack,Yaliyomo ya Kugundua,Malware,Sigma,Soko Kuu la SOC,Soko la Kugundua Tishio, Maudhui ya Uwindaji wa Tishio – Blogu, Vitisho vya Hivi Punde, Mashambulizi ya Mtandaoni, Utambuzi Maudhui, Programu hasidi, Sigma, Jukwaa Kuu la SOC, Soko la Ugunduzi wa Tishio, Maudhui ya Uwindaji wa Tishio
Leave a Reply