EAGLET tagauks pahavara

Küberspionaaž areneb pidevalt, kusjuures riikidega seotud ohurühmitused kasutavad üha petlikumaid taktikaid. Üks viimaseid intsidente hõlmab keerukat kampaaniat, mille eesmärk on kahjustada Venemaa lennundus- ja kaitsesektorit, kasutades varjatud jälgimiseks ja andmete varguseks kohandatud tagaust nimega EAGLET.

Sihtmärk tuvastatud: Venemaa lennundus piiramisrõngas

Kampaaniat, mida tuntakse nime all „Operatsioon CargoTalon“, on seostatud ohuklastriga UNG0901 (tundmatu rühm 901). See rühmitus on oma sihikule võtnud Voroneži Lennukitootmisühingu (VASO), mis on suur Venemaa lennukitootja. Ründajad kasutavad andmepüügi taktikat, mis ära kasutab dokumente „товарно-транспортная накладная“ (TTN), mis on Venemaa logistikaoperatsioonide jaoks kriitilise tähtsusega kaubaveo vorm.

Kuidas rünnak avaldub: relvastatud peibutised ja pahavara juurutamine

Nakatumise ahel algab võltsitud kaubaveo-teemalise sisuga andmepüügikirjadega. Need kirjad sisaldavad ZIP-arhiive, mis sisaldavad Windowsi otseteefaili (LNK). Käivitamisel kasutab LNK-fail PowerShelli, et käivitada peibutusfail Microsoft Exceli dokumendina, installides samal ajal nakatunud süsteemi EAGLET DLL-i tagaukse.

Peibutusdokument viitab Obltransterminalile, Venemaa raudteekonteinerterminali operaatorile, kellele USA rahandusministeeriumi välisvarade kontrolli büroo (OFAC) sanktsioonid kehtestas 2024. aasta veebruaris – selle sammu eesmärk on tõenäoliselt meelitamisele usaldusväärsust ja kiireloomulisust lisada.

EAGLETi siseinfo: võimed ja C2-kommunikatsioon

EAGLET-tagauks on varjatud implantaat, mis on loodud luureandmete kogumiseks ja püsivaks juurdepääsuks. Selle võimete hulka kuuluvad:

• Süsteemiteabe kogumine
• Ühendamine kõvakodeeritud C2 serveriga IP-aadressil 185.225.17.104
• HTTP-vastuste parsimine käskude täitmiseks

Implantaat pakub interaktiivset shelli ligipääsu ja toetab failide üles-/allalaadimise toiminguid. Command-and-Control (C2) serveri praeguse võrguühenduseta oleku tõttu ei ole analüütikud aga suutnud kindlaks teha võimalike järgmise etapi kasulike koormuste täielikku ulatust.

Sidemed teiste ohutegelastega: EAGLET ja Head Mare

Tõendid viitavad sellele, et UNG0901 ei tegutse isoleeritult. Sarnaseid EAGLETi kasutavaid kampaaniaid on täheldatud ka Venemaa sõjaväesektori täiendavate üksuste sihtimisel. Need operatsioonid näitavad seoseid teise ohurühmitusega Head Mare, mis on tuvastatud Venemaa organisatsioonidele keskendumise tõttu.

Kattuvuse peamised näitajad on järgmised:

• EAGLETi ja Head Mare tööriistakomplektide lähtekoodi sarnasused
• Andmepüügi manuste ühised nimetamiskonventsioonid

EAGLETi ja PhantomDLi funktsionaalsed sarnasused, mis on Go-põhine tagauks, mis on tuntud oma kesta ja failiedastusvõimaluste poolest.

Peamised järeldused: hoiatusmärgid ja püsivad ohud

See kampaania toob esile odavõngimise operatsioonide üha suureneva täpsuse, eriti nende puhul, mis kasutavad domeenispetsiifilisi peibutisi, näiteks TTN-dokumente. Sanktsioneeritud üksuste kasutamine peibutusfailides koos kohandatud pahavaraga nagu EAGLET illustreerib kriitilisele infrastruktuurile suunatud sihipäraste spionaažikampaaniate kasvavat trendi.

Kompromissi märgid ja ohumärgid, millele tähelepanu pöörata:

• Meilid, mis viitavad Venemaa sanktsioonidega hõlmatud üksuste lastile või tarnedokumentidele.
• Kahtlased ZIP-manused, mis sisaldavad PowerShelli käske käivitavaid LNK-faile.
• Väljaminevad ühendused tundmatute IP-aadressidega.

Küberturvalisuse spetsialistid peaksid olema valvsad selliste ohuüksuste nagu UNG0901 arenevate taktikate suhtes, eriti kuna nad sihivad tundlikke sektoreid kohandatud pahavara implantaatide ja kattuvate tööriistakomplektidega.