Er zijn onbekende dreigingsactoren waargenomen die opensourcetools gebruiken als onderdeel van een vermoedelijke cyberespionagecampagne die gericht is op wereldwijde overheids- en particuliere organisaties.
De Insikt Group van Recorded Future houdt de activiteiten bij onder de tijdelijke naam TAG-100 en meldt dat de aanvaller waarschijnlijk organisaties in ten minste tien landen in Afrika, Azië, Noord-Amerika, Zuid-Amerika en Oceanië heeft gecompromitteerd, waaronder twee niet nader genoemde intergouvernementele organisaties in de regio Azië-Pacific.
Sinds februari 2024 worden ook diplomatieke, overheids-, halfgeleider-, non-profit- en religieuze organisaties uit Cambodja, Djibouti, de Dominicaanse Republiek, Fiji, Indonesië, Nederland, Taiwan, het Verenigd Koninkrijk, de VS en Vietnam genoemd.
“TAG-100 maakt gebruik van open-source mogelijkheden voor externe toegang en exploiteert verschillende internetgerichte apparaten om initiële toegang te verkrijgen”, aldus het cybersecuritybedrijf. “De groep gebruikte open-source Go backdoors Pantegana en Spark RAT post-exploitation.”
Bij aanvalsketens wordt gebruikgemaakt van bekende beveiligingslekken die van invloed zijn op verschillende internetproducten, waaronder Citrix NetScaler, F5 BIG-IP, Zimbra, Microsoft Exchange Server, SonicWall, Cisco Adaptive Security Appliances (ASA), Palo Alto Networks GlobalProtect en Fortinet FortiGate.
De groep is ook waargenomen bij het uitvoeren van uitgebreide verkenningsactiviteiten gericht op internetgerichte apparaten van organisaties in ten minste vijftien landen, waaronder Cuba, Frankrijk, Italië, Japan en Maleisië. Dit omvatte ook verschillende Cubaanse ambassades in Bolivia, Frankrijk en de VS.

“Vanaf 16 april 2024 heeft TAG-100 vermoedelijke verkennings- en exploitatieactiviteiten uitgevoerd gericht op Palo Alto Networks GlobalProtect-apparaten van organisaties, voornamelijk gevestigd in de VS, binnen de sectoren onderwijs, financiën, juridische zaken, lokale overheden en nutsbedrijven”, aldus het bedrijf.
Deze inspanning zou samenvallen met de openbare release van een proof-of-concept (PoC)-exploit voor CVE-2024-3400 (CVSS-score: 10,0), een kritieke kwetsbaarheid voor de uitvoering van code op afstand die de GlobalProtect-firewalls van Palo Alto Networks treft.
Na succesvolle initiële toegang worden Pantegana, Spark RAT en Cobalt Strike Beacon op gecompromitteerde hosts geïmplementeerd.
De bevindingen illustreren hoe PoC-exploits gecombineerd kunnen worden met open-sourceprogramma’s om aanvallen te orkestreren, waardoor de drempel voor minder geavanceerde dreigingsactoren effectief verlaagd wordt. Bovendien stelt dergelijke handelswijze tegenstanders in staat om toeschrijvingsinspanningen te compliceren en detectie te ontwijken.
“De wijdverbreide aanval op apparaten die met het internet zijn verbonden, is bijzonder aantrekkelijk omdat het een houvast biedt binnen het beoogde netwerk via producten die vaak een beperkte zichtbaarheid, loggingmogelijkheden en ondersteuning voor traditionele beveiligingsoplossingen hebben. Hierdoor wordt het risico op detectie na misbruik verkleind”, aldus Recorded Future.