Malware backdoor EAGLET
Il cyberspionaggio continua a evolversi, con attori di minacce legati a stati che impiegano tattiche sempre più ingannevoli. Uno degli incidenti più recenti riguarda un'elaborata campagna volta a compromettere i settori aerospaziale e della difesa russi, utilizzando una backdoor personalizzata chiamata EAGLET per la sorveglianza segreta e il furto di dati.
Sommario
Obiettivo identificato: l’industria aerospaziale russa sotto assedio
La campagna, nota come Operazione CargoTalon, è stata attribuita a un gruppo di minacce denominato UNG0901 (Unknown Group 901). Questo gruppo ha preso di mira la Voronezh Aircraft Production Association (VASO), un'importante azienda russa produttrice di aeromobili. Gli aggressori impiegano tattiche di spear-phishing che sfruttano i documenti "товарно-транспортная накладная" (TTN), un tipo di documento di trasporto merci fondamentale per le operazioni logistiche in Russia.
Come si sviluppa l’attacco: esche artificiali e distribuzione di malware
La catena di infezione inizia con email di spear-phishing che contengono contenuti falsi a tema consegna merci. Questi messaggi includono archivi ZIP contenenti un file di collegamento di Windows (LNK). Una volta eseguito, il file LNK utilizza PowerShell per avviare un documento Microsoft Excel fittizio e installare contemporaneamente la backdoor DLL EAGLET sul sistema compromesso.
Il documento esca fa riferimento a Obltransterminal, un operatore russo di terminal per container ferroviari sanzionato dall'Office of Foreign Assets Control (OFAC) del Tesoro statunitense nel febbraio 2024, una mossa probabilmente mirata ad aggiungere credibilità e urgenza all'esca.
All’interno di EAGLET: capacità e comunicazione C2
La backdoor EAGLET è un impianto stealth progettato per la raccolta di informazioni e l'accesso persistente. Le sue capacità includono:
- Raccolta di informazioni di sistema
- Connessione a un server C2 hardcoded all'indirizzo IP 185.225.17.104
- Analisi delle risposte HTTP per recuperare i comandi per l'esecuzione
L'impianto offre accesso shell interattivo e supporta operazioni di caricamento/scaricamento file. Tuttavia, a causa dell'attuale stato offline del server di Comando e Controllo (C2), gli analisti non sono stati in grado di determinare l'intera gamma di possibili payload di fase successiva.
Legami con altri attori della minaccia: EAGLET e Head Mare
Le prove suggeriscono che UNG0901 non operi in modo isolato. Sono state osservate campagne simili che utilizzano EAGLET, mirate ad altre entità del settore militare russo. Queste operazioni rivelano connessioni con un altro gruppo minaccioso noto come Head Mare, identificato per la sua attenzione alle organizzazioni russe.
Gli indicatori chiave di sovrapposizione includono:
- Somiglianze del codice sorgente tra i set di strumenti EAGLET e Head Mare
- Convenzioni di denominazione condivise negli allegati di phishing
Somiglianze funzionali tra EAGLET e PhantomDL, una backdoor basata su Go nota per le sue capacità di shell e trasferimento file
Punti chiave: segnali di allarme e minacce persistenti
Questa campagna evidenzia la crescente precisione delle operazioni di spear-phishing, in particolare quelle che utilizzano esche specifiche per un dominio come i documenti TTN. L'utilizzo di entità sanzionate nei file decoy, combinato con malware personalizzati come EAGLET, illustra una tendenza crescente nelle campagne di spionaggio altamente mirate, mirate alle infrastrutture critiche.
Indicatori di compromesso e segnali d'allarme a cui prestare attenzione:
- Email che fanno riferimento a documenti di carico o di consegna provenienti da entità russe sanzionate.
- Allegati ZIP sospetti contenenti file LNK che eseguono comandi PowerShell.
- Connessioni in uscita verso IP sconosciuti.
I professionisti della sicurezza informatica devono rimanere vigili sulle tattiche in continua evoluzione di attori della minaccia come UNG0901, soprattutto perché prendono di mira settori sensibili con impianti di malware personalizzati e kit di strumenti sovrapposti.
