EAGLET Bagdørs-malware
Cyberspionage fortsætter med at udvikle sig, hvor statsforbundne trusselsaktører anvender stadig mere vildledende taktikker. En af de seneste hændelser involverer en omfattende kampagne, der sigter mod at kompromittere Ruslands luftfarts- og forsvarssektorer, ved hjælp af en specialbygget bagdør ved navn EAGLET til skjult overvågning og datatyveri.
Indholdsfortegnelse
Mål identificeret: Russisk rumfart under belejring
Kampagnen, kendt som Operation CargoTalon, er blevet tilskrevet en trusselsklynge mærket UNG0901 (Ukendt Gruppe 901). Denne gruppe har rettet blikket mod Voronezh Aircraft Production Association (VASO), en stor russisk flyproducent. Angriberne anvender spear-phishing-taktikker, der udnytter 'товарно-транспортная накладная' (TTN) dokumenter, en type fragttransportform, der er kritisk for logistikoperationer i Rusland.
Sådan udfolder angrebet sig: Våbenbesatte lokkemidler og implementering af malware
Infektionskæden starter med spear-phishing-e-mails, der indeholder falsk indhold med fokus på levering af fragt. Disse meddelelser inkluderer ZIP-arkiver, der indeholder en Windows-genvejsfil (LNK). Når LNK-filen udføres, bruger den PowerShell til at starte et lokkemiddel til Microsoft Excel-dokument, samtidig med at den installerer EAGLET DLL-bagdøren på det kompromitterede system.
Lokkedukkedokumentet refererer til Obltransterminal, en russisk jernbanecontainerterminaloperatør, der blev sanktioneret af det amerikanske finansministeriums Office of Foreign Assets Control (OFAC) i februar 2024 – et træk, der sandsynligvis har til formål at tilføje troværdighed og gøre lokkedukken mere presserende.
Inde i EAGLET: Funktioner og C2-kommunikation
EAGLET-bagdøren er et skjult implantat designet til indsamling af efterretninger og vedvarende adgang. Dens funktioner omfatter:
- Indsamling af systemoplysninger
- Forbinder til en hardcoded C2-server på IP-adressen 185.225.17.104
- Parsing af HTTP-svar for at hente kommandoer til udførelse
Implantatet har interaktiv shell-adgang og understøtter filupload/download. På grund af Command-and-Control (C2)-serverens nuværende offline-status har analytikere dog ikke været i stand til at fastslå det fulde omfang af mulige næste-trins nyttelaster.
Forbindelser til andre trusselsaktører: EAGLET og Head Mare
Beviser tyder på, at UNG0901 ikke opererer isoleret. Lignende kampagner, der anvender EAGLET, er blevet observeret rettet mod yderligere enheder i Ruslands militære sektor. Disse operationer afslører forbindelser til en anden trusselgruppe kendt som Head Mare, der er identificeret for sit fokus på russiske organisationer.
Nøgleindikatorer for overlapning inkluderer:
- Kildekodeligheder mellem EAGLET og Head Mare-værktøjssættene
- Delte navngivningskonventioner i phishing-vedhæftninger
Funktionelle ligheder mellem EAGLET og PhantomDL, en Go-baseret bagdør kendt for sine shell- og filoverførselsfunktioner
Vigtige konklusioner: Advarselstegn og vedvarende trusler
Denne kampagne fremhæver den stigende præcision af spear-phishing-operationer, især dem, der bruger domænespecifikke lokkemidler såsom TTN-dokumenter. Brugen af sanktionerede enheder i lokkemadsfiler kombineret med brugerdefineret malware som EAGLET illustrerer en voksende tendens til meget målrettede spionagekampagner rettet mod kritisk infrastruktur.
Indikatorer for kompromis og røde flag at holde øje med:
- E-mails, der henviser til fragt- eller leveringsdokumenter fra sanktionerede russiske enheder.
- Mistænkelige ZIP-vedhæftninger, der indeholder LNK-filer, der udfører PowerShell-kommandoer.
- Udgående forbindelser til ukendte IP-adresser.
Cybersikkerhedsprofessionelle bør forblive opmærksomme på de udviklende taktikker fra trusselsaktører som UNG0901, især da de målretter følsomme sektorer med tilpassede malware-implantater og overlappende værktøjssæt.
