俄罗斯黑客对塔吉克斯坦政府发动大规模宏病毒钓鱼攻击

近日，网络安全公司Recorded Future旗下的Insikt Group披露，一支与俄罗斯有关联的黑客组织TAG-110，近期针对塔吉克斯坦发动了一轮新型鱼叉式网络钓鱼攻击，首次弃用了其标志性的HTA加载器HATVIBE，转而采用带有宏的Word模板文件（.DOTM）作为初始攻击载荷。

针对塔吉克斯坦的网络间谍活动

据报道，TAG-110，又被称为UAC-0063，是一个自2021年起活跃的高级持续性威胁（APT）团体，过去曾频繁攻击中亚、东亚和欧洲的政府机构及外国使馆。

此次攻击的目标锁定为塔吉克斯坦的政府、教育和科研机构，结合TAG-110长期以来对中亚公共部门的关注，安全专家推测其行动目的仍是广泛获取有助于操控地区政治或安全局势的情报，尤其是在选举或地缘政治紧张时刻。

战术演变与网络钓鱼本地化策略

TAG-110在技术手段上不断演进，与此前使用 HTML 应用程序（.HTA）附件传播HATVIBE恶意软件不同，这轮攻击的恶意文档为Word模板文件（.DOTM），其宏代码会将模板复制至Word启动目录，以提高攻击的隐蔽性和成功率。实现开机自启和持久化控制。

此外，另外一个值得关注的攻击策略是高度本地化，此次钓鱼邮件攻击的内容高度本地化，钓鱼邮件中伪装的诱饵文件仿冒塔吉克斯坦政府公文，尽管无法确认其真实性，但TAG-110一贯擅长利用“木马化的政府文件”作为诱饵，攻击手法具高度一致性。

一旦受害者启用宏，宏代码将：

• 将模板文件植入Word启动目录；
• 与远程命令与控制（C2）服务器通信；
• 可能接收并执行来自 C2 的额外VBA代码。

虽然本轮攻击中尚未观察到第二阶段有效负载的具体细节，但安全研究人员推测，极有可能部署包括 HATVIBE、CHERRYSPY、LOGPIE 或新型间谍软件在内的恶意工具，用于深层次的数据窃取与系统渗透。

TAG-110 的前世今生：从东欧到中亚

TAG-110的首次大规模曝光可追溯至2023年，由罗马尼亚安全公司 Bitdefender 报告称其通过名为DownEx（又名 STILLARCH）的恶意程序攻击哈萨克斯坦与阿富汗的政府机构。同年5月，乌克兰计算机应急响应中心（CERT-UA）将该团体正式命名为UAC-0063，并披露其在乌克兰境内对国家机构发动的攻击，所使用恶意工具包括LOGPIE、CHERRYSPY、DownEx和 PyPlunderPlug等。

尽管TAG-110与俄罗斯的APT28存在一定重合，但其行动风格更偏向情报收集与地区干涉，尤其关注地缘冲突热点区域。

中亚成APT攻击新焦点

此次TAG-110攻击塔吉克斯坦的行动，凸显出国家级网络威胁主体不断优化战术、深度本地化钓鱼诱饵，并继续利用宏病毒等“老工具”进行初始突破。宏虽老，套路却新，安全防御者需警惕Office启动目录、宏自动执行机制等被滥用的攻击向量。

在未来一段时间，预计类似TAG-110的APT团体仍将活跃于中亚及其他地缘政治敏感地区。安全从业者必须密切关注这些战术变化，提升用户对宏病毒、（高度本地化的）仿冒政府文件钓鱼攻击的识别能力。

参考链接：

https://www.recordedfuture.com/research/russia-aligned-tag-110-targets-tajikistan-with-macro-enabled