【安全资讯】与俄罗斯有关的TAG-110在亚洲和欧洲发起网络间谍活动

概要：

近期，Insikt Group揭示了一个与俄罗斯相关的网络间谍活动，归因于TAG-110组织。该活动自2024年7月以来活跃，主要针对亚洲和欧洲的组织，尤其集中在中亚地区。此事件不仅反映了网络安全威胁的复杂性，也揭示了国家间谍活动对地缘政治的影响。

主要内容：

TAG-110与俄罗斯国家支持的APT28（BlueDelta）有一定关联，旨在收集情报以支持俄罗斯在乌克兰的战争，并监控周边的地缘政治事件。自2024年7月以来，该组织已成功攻击了11个国家的62个组织，受害者包括乌兹别克斯坦国家人权中心和哈萨克斯坦国有石油公司KazMunayGas的子公司。

该组织使用复杂的定制恶意软件进行操作，其中包括HATVIBE和CHERRYSPY。HATVIBE通过恶意电子邮件附件或网络服务漏洞传播，采用HTML应用程序（HTA）作为加载器，利用VBScript编码和XOR加密等混淆技术来规避检测。CHERRYSPY则是一个基于Python的后门，使用RSA和AES等高级加密方法与其指挥控制服务器建立安全通信通道，能够持续监控被攻击系统并提取敏感数据。

此外，TAG-110的活动显示出其在网络间谍活动中的高复杂性，利用VPS注册的C2服务器掩盖其活动。报告还提供了可操作的情报，包括IoCs和YARA规则，以帮助防御者检测和中和TAG-110的活动。这一事件突显了网络能力在俄罗斯地缘政治和军事目标中的日益重要性。