Κακόβουλο λογισμικό EAGLET Backdoor
Η κυβερνοκατασκοπεία συνεχίζει να εξελίσσεται, με τους κρατικούς παράγοντες απειλής να χρησιμοποιούν ολοένα και πιο παραπλανητικές τακτικές. Ένα από τα τελευταία περιστατικά αφορά μια περίπλοκη εκστρατεία που στοχεύει στην παραβίαση των αεροδιαστημικών και αμυντικών τομέων της Ρωσίας, χρησιμοποιώντας μια προσαρμοσμένη κερκόπορτα που ονομάζεται EAGLET για μυστική παρακολούθηση και κλοπή δεδομένων.
Πίνακας περιεχομένων
Στόχος που προσδιορίστηκε: Η Ρωσική Αεροδιαστημική Υπηρεσία υπό Πολιορκία
Η εκστρατεία, γνωστή ως Επιχείρηση CargoTalon, έχει αποδοθεί σε μια ομάδα απειλών με την ονομασία UNG0901 (Άγνωστη Ομάδα 901). Αυτή η ομάδα έχει βάλει στο στόχαστρο την Ένωση Παραγωγής Αεροσκαφών Voronezh (VASO), μια σημαντική ρωσική οντότητα κατασκευής αεροσκαφών. Οι επιτιθέμενοι χρησιμοποιούν τακτικές spear-phishing που εκμεταλλεύονται έγγραφα «товарно-транспортная накладная» (TTN), ένα είδος μορφής μεταφοράς φορτίου κρίσιμης για τις επιχειρήσεις logistics εντός της Ρωσίας.
Πώς εξελίσσεται η επίθεση: Οπλισμένα δολώματα και ανάπτυξη κακόβουλου λογισμικού
Η αλυσίδα μόλυνσης ξεκινά με email spear-phishing που περιέχουν ψεύτικο περιεχόμενο με θέμα την παράδοση φορτίου. Αυτά τα μηνύματα περιλαμβάνουν αρχεία ZIP που περιέχουν ένα αρχείο συντόμευσης των Windows (LNK). Όταν εκτελείται, το αρχείο LNK χρησιμοποιεί το PowerShell για να εκκινήσει ένα παραπλανητικό έγγραφο του Microsoft Excel, ενώ ταυτόχρονα εγκαθιστά το backdoor EAGLET DLL στο παραβιασμένο σύστημα.
Το έγγραφο-δόλωμα αναφέρεται στην Obltransterminal, έναν ρωσικό φορέα εκμετάλλευσης σιδηροδρομικού τερματικού σταθμού εμπορευματοκιβωτίων στον οποίο επιβλήθηκαν κυρώσεις από το Γραφείο Ελέγχου Ξένων Περιουσιακών Στοιχείων (OFAC) του Υπουργείου Οικονομικών των ΗΠΑ τον Φεβρουάριο του 2024 - μια κίνηση που πιθανότατα αποσκοπούσε στο να προσθέσει αξιοπιστία και επείγον χαρακτήρα στο δέλεαρ.
Μέσα στο EAGLET: Δυνατότητες και επικοινωνία C2
Η κερκόπορτα EAGLET είναι ένα κρυφό εμφύτευμα σχεδιασμένο για συλλογή πληροφοριών και μόνιμη πρόσβαση. Οι δυνατότητές του περιλαμβάνουν:
- Συλλογή πληροφοριών συστήματος
- Σύνδεση σε έναν ενσωματωμένο διακομιστή C2 στη διεύθυνση IP 185.225.17.104
- Ανάλυση απαντήσεων HTTP για την ανάκτηση εντολών για εκτέλεση
Το εμφύτευμα διαθέτει διαδραστική πρόσβαση σε κέλυφος και υποστηρίζει λειτουργίες μεταφόρτωσης/λήψης αρχείων. Ωστόσο, λόγω της τρέχουσας κατάστασης εκτός σύνδεσης του διακομιστή Command-and-Control (C2), οι αναλυτές δεν έχουν καταφέρει να προσδιορίσουν το πλήρες εύρος των πιθανών φορτίων επόμενου σταδίου.
Δεσμοί με άλλους παράγοντες απειλής: EAGLET και Head Mare
Τα στοιχεία υποδηλώνουν ότι η UNG0901 δεν λειτουργεί μεμονωμένα. Παρόμοιες εκστρατείες που αναπτύσσουν την EAGLET έχουν παρατηρηθεί με στόχο και άλλες οντότητες στον στρατιωτικό τομέα της Ρωσίας. Αυτές οι επιχειρήσεις αποκαλύπτουν συνδέσεις με μια άλλη ομάδα απειλής γνωστή ως Head Mare, η οποία έχει αναγνωριστεί για την εστίασή της σε ρωσικούς οργανισμούς.
Βασικοί δείκτες επικάλυψης περιλαμβάνουν:
- Ομοιότητες πηγαίου κώδικα μεταξύ των εργαλείων EAGLET και Head Mare
- Κοινόχρηστες συμβάσεις ονομασίας σε συνημμένα ηλεκτρονικού "ψαρέματος" (phishing)
Λειτουργικές ομοιότητες μεταξύ του EAGLET και του PhantomDL, ενός backdoor που βασίζεται σε Go και είναι γνωστό για τις δυνατότητες shell και μεταφοράς αρχείων που προσφέρει.
Βασικά Συμπεράσματα: Προειδοποιητικά Σημάδια και Επίμονες Απειλές
Αυτή η καμπάνια υπογραμμίζει την αυξανόμενη ακρίβεια των επιχειρήσεων spear-phishing, ειδικά εκείνων που χρησιμοποιούν δολώματα ειδικά για συγκεκριμένους τομείς, όπως έγγραφα TTN. Η χρήση οντοτήτων που έχουν εγκριθεί σε αρχεία δολωμάτων, σε συνδυασμό με προσαρμοσμένο κακόβουλο λογισμικό όπως το EAGLET, καταδεικνύει μια αυξανόμενη τάση σε στοχευμένες εκστρατείες κατασκοπείας που στοχεύουν σε κρίσιμες υποδομές.
Ενδείξεις παραβίασης και προειδοποιητικά σημάδια που πρέπει να προσέξετε:
- Ηλεκτρονικά μηνύματα ηλεκτρονικού ταχυδρομείου που αναφέρουν φορτίο ή έγγραφα παράδοσης από ρωσικές οντότητες που έχουν υποστεί κυρώσεις.
- Ύποπτα συνημμένα ZIP που περιέχουν αρχεία LNK που εκτελούν εντολές PowerShell.
- Εξερχόμενες συνδέσεις σε άγνωστες διευθύνσεις IP.
Οι επαγγελματίες στον κυβερνοχώρο θα πρέπει να παραμένουν σε εγρήγορση σχετικά με τις εξελισσόμενες τακτικές των απειλητικών φορέων όπως ο UNG0901, ειδικά καθώς στοχεύουν ευαίσθητους τομείς με προσαρμοσμένα εμφυτεύματα κακόβουλου λογισμικού και επικαλυπτόμενα εργαλεία.
