TAG-100: открытый код на службе шпионов

Кибершпионская группировка TAG-100 провела масштабную атаку на государственные и частные организации по всему миру, используя устройства с доступом в интернет и бэкдор Pantegana. Среди пострадавших оказались две межправительственные организации Азиатско-Тихоокеанского региона и несколько дипломатических и торговых структур.

Эксперты Insikt Group обнаружили кампанию, подчеркнув, что TAG-100 использует возможности удаленного доступа, предоставляемые открытым ПО, а также эксплуатирует различные интернет-устройства для получения первоначального доступа. Подобная активность демонстрирует растущую тенденцию кибершпионажа с применением open-source инструментов, что упрощает деятельность даже для менее опытных злоумышленников и снижает потребность в разработке уникальных решений.

В результате атаки пострадали организации в как минимум 10 странах, включая Африку, Азию, Северную и Южную Америку, а также Океанию. Группа использовали Golang-инструменты Pantegana и SparkRAT после проникновения:

• Бэкдор Pantegana, написанный на языке Go, работает на различных платформах (Windows, Linux, macOS) и использует HTTPS для коммуникаций с C2-сервером. Pantegana поддерживает загрузку и выгрузку файлов, сбор информации о системе и выполнение команд на зараженном хосте.
• Open Source инструмент SparkRAT на основе Golang может работать в Windows, macOS, Linux и предлагает функции удаленного доступа. SparkRAT способен выполнять множество действий, в том числе удаленно выполнять системные команды PowerShell и Windows, загружать, выгружать и удалять файлы, собирать системную информацию.

Среди целевых устройств оказались продукты Citrix NetScaler, F5 BIG-IP, Zimbra, Microsoft Exchange, SonicWall, Cisco ASA, Palo Alto Networks GlobalProtect и Fortinet FortiGate. Особую озабоченность вызывает эксплуатация уязвимостей устройств, имеющих доступ к интернету, так как они имеют ограниченные возможности для обнаружения и ведения логов. Это уменьшает вероятность выявления атак после их совершения и ставит организации под угрозу простоев, ущерба репутации и штрафов.

В отчете выделяется уязвимость внедрения команд CVE-2024-3400 (оценка CVSS: 10.0) в Palo Alto Networks GlobalProtect, которая из-за ошибки в создании произвольного файла в функции GlobalProtect позволяет неаутентифицированному злоумышленнику выполнить произвольный код с root-привилегиями в брандмауэре. Ошибка использовалась для атак на устройства, в основном базирующихся в США, которые относятся к различным отраслям, включая образование, финансы и госсструктуры.

Организации должны принимать меры для защиты своих систем от подобных атак. Рекомендуется настроить системы обнаружения и предотвращения вторжений для блокировки подозрительных IP-адресов и доменов, обеспечить мониторинг всех внешне доступных сервисов и устройств, приоритизировать установку исправлений для уязвимостей, особенно тех, что уже активно эксплуатируются, а также внедрить сегментацию сети и многофакторную аутентификацию.