Programari maliciós de porta del darrere EAGLET
El ciberespionatge continua evolucionant, amb actors d'amenaces vinculats a l'estat que utilitzen tàctiques cada cop més enganyoses. Un dels darrers incidents implica una elaborada campanya destinada a comprometre els sectors aeroespacial i de defensa de Rússia, utilitzant una porta del darrere personalitzada anomenada EAGLET per a la vigilància encoberta i el robatori de dades.
Taula de continguts
Objectiu identificat: Aeroespacial rus assetjat
La campanya, coneguda com a Operació CargoTalon, s'ha atribuït a un clúster d'amenaces anomenat UNG0901 (Grup Desconegut 901). Aquest grup ha posat la seva mirada en l'Associació de Producció d'Aeronaus de Voronej (VASO), una important entitat russa de fabricació d'aeronaus. Els atacants utilitzen tàctiques de spear-phishing que exploten documents "товарно-транспортная накладная" (TTN), un tipus de forma de transport de càrrega crítica per a les operacions logístiques dins de Rússia.
Com es desenvolupa l’atac: esquers armats i desplegament de programari maliciós
La cadena d'infecció comença amb correus electrònics de spear-phishing que contenen contingut fals amb temàtica de lliurament de càrrega. Aquests missatges inclouen arxius ZIP que contenen un fitxer de drecera de Windows (LNK). Quan s'executa, el fitxer LNK utilitza PowerShell per llançar un document esquer de Microsoft Excel mentre instal·la simultàniament la porta del darrere EAGLET DLL al sistema compromès.
El document esquer fa referència a Obltransterminal, un operador de terminals de contenidors ferroviàries rus sancionat per l'Oficina de Control d'Actius Estrangers (OFAC) del Tresor dels Estats Units el febrer de 2024, una mesura probablement destinada a afegir credibilitat i urgència a l'esquer.
Dins d’EAGLET: Capacitats i comunicació C2
La porta del darrere EAGLET és un implant furtiu dissenyat per a la recopilació d'intel·ligència i l'accés persistent. Les seves capacitats inclouen:
- Recopilació d'informació del sistema
- Connexió a un servidor C2 codificat a l'adreça IP 185.225.17.104
- Anàlisi de respostes HTTP per recuperar ordres per a la seva execució
L'implant ofereix accés interactiu a l'intèrpret d'ordres i admet operacions de càrrega/descàrrega de fitxers. Tanmateix, a causa de l'estat actual fora de línia del servidor de comandament i control (C2), els analistes no han pogut determinar l'abast complet de les possibles càrregues útils de la següent etapa.
Vincles amb altres actors d’amenaces: EAGLET i Head Mare
L'evidència suggereix que UNG0901 no opera de manera aïllada. S'han observat campanyes similars que despleguen EAGLET dirigides a altres entitats del sector militar rus. Aquestes operacions revelen connexions amb un altre grup d'amenaces conegut com a Head Mare, identificat pel seu enfocament en organitzacions russes.
Els indicadors clau de solapament inclouen:
- Similituds del codi font entre els conjunts d'eines EAGLET i Head Mare
- Convencions de nomenclatura compartides en fitxers adjunts de phishing
Semblances funcionals entre EAGLET i PhantomDL, una porta del darrere basada en Go coneguda per les seves capacitats de shell i transferència de fitxers
Conclusions clau: senyals d’alerta i amenaces persistents
Aquesta campanya destaca la creixent precisió de les operacions de spear-phishing, especialment les que utilitzen esquers específics de domini com ara documents TTN. L'ús d'entitats sancionades en fitxers esquer, combinat amb programari maliciós personalitzat com EAGLET, il·lustra una tendència creixent en campanyes d'espionatge altament dirigides a infraestructures crítiques.
Indicadors de compromís i senyals d'alerta a tenir en compte:
- Correus electrònics que fan referència a càrrega o documents de lliurament d'entitats russes sancionades.
- Fitxers adjunts ZIP sospitosos que contenen fitxers LNK que executen ordres del PowerShell.
- Connexions sortints a IPs desconegudes.
Els professionals de la ciberseguretat han d'estar alerta a l'evolució de les tàctiques dels actors d'amenaces com UNG0901, especialment quan es dirigeixen a sectors sensibles amb implants de programari maliciós personalitzats i conjunts d'eines superposats.
