كشفت شركة Recorded Future للأمن السيبراني عن حملة تصيد مستهدف تُنفذها مجموعة القرصنة TAG-110 (المعروفة أيضًا باسم UAC-0063) المرتبطة بروسيا، والتي تستهدف حكومة طاجيكستان باستخدام قوالب Word خبيثة تحتوي على ماكرو ضار كحمل أولي، مما يؤكد تزايد نشاط القراصنة المدعومين من دول في آسيا الوسطى، مع تحول واضح نحو تقنيات أكثر تطورًا لاختراق الأنظمة وسرقة البيانات الحساسة.
وعلى عكس هجماتها السابقة التي اعتمدت على حمولة HATVIBE عبر ملفات HTA، لجأت المجموعة هذه المرة إلى استخدام ملفات DOTM (قوالب Word مع ماكرو) لاختراق الأنظمة. يُعتقد أن الهدف من هذه العمليات هو جمع معلومات استخباراتية للتأثير على السياسة الإقليمية أو الأمن، خاصة خلال الأحداث الحساسة مثل الانتخابات أو التوترات الجيوسياسية.
وبحسب التحليل، فإنه من المرجح أن تكون المؤسسات الحكومية والتعليمية والبحثية في طاجيكستان ضمن نطاق الاستهداف، نظرًا لسجل المجموعة في استهداف قطاعات حكومية بآسيا الوسطى.
خلفية عن TAG-110:
-
نشطة منذ 2021 على الأقل.
-
مرتبطة بمجموعة APT28 الروسية.
-
سبق أن استهدفت سفارات أوروبية ودولًا مثل كازاخستان وأفغانستان.
-
تستخدم برمجيات خبيثة مثل DownEx وCHERRYSPY وLOGPIE.
آلية الهجوم الجديدة:
-
رسائل تصيد تحمل وثائق مزيفة تحاكي ملفات حكومية طاجيكية.
-
عند فتح الملف، يُنفذ ماكرو VBA لوضع قالب وثيقة في مجلد تشغيل Word لتنفيذها تلقائيًا.
-
يتصل الماكرو بعد ذلك بخادم تحكم وتحكم (C2) لتنزيل حمولات إضافية.
-
لم يُكشف بعد عن طبيعة الحمولات الثانوية، لكن يُحتمل أن تشمل برامج تجسس مثل HATVIBE أو CHERRYSPY.
تعقيد التهديد:
أشارت Recorded Future إلى أن TAG-110 تُطور أدواتها باستمرار، مما يجعل كشف الهجمات أكثر صعوبة. ورغم عدم تأكيد صحة الوثائق المستخدمة في التصيد، فإن أسلوب المجموعة في استغلال وثائق حكومية مزورة يظل فعالًا.
