Malware Pintu Belakang EAGLET
Cyberespionage terus berkembang, dengan pelakon ancaman berkaitan kerajaan menggunakan taktik yang semakin memperdaya. Salah satu insiden terbaharu melibatkan kempen terperinci yang bertujuan untuk menjejaskan sektor aeroangkasa dan pertahanan Rusia, menggunakan pintu belakang tersuai bernama EAGLET untuk pengawasan rahsia dan kecurian data.
Isi kandungan
Sasaran Dikenal pasti: Aeroangkasa Rusia Di Bawah Kepungan
Kempen itu, yang dikenali sebagai Operation CargoTalon, telah dikaitkan dengan kelompok ancaman berlabel UNG0901 (Kumpulan Tidak Diketahui 901). Kumpulan ini telah menyasarkan Voronezh Aircraft Production Association (VASO), sebuah entiti pembuatan pesawat utama Rusia. Penyerang menggunakan taktik pancingan lembing yang mengeksploitasi dokumen 'товарно-транспортная накладная' (TTN), sejenis bentuk pengangkutan kargo yang penting untuk operasi logistik di Rusia.
Cara Serangan Terjadi: Gewang Bersenjata dan Penyebaran Perisian Hasad
Rantaian jangkitan bermula dengan e-mel spear-phishing yang mengandungi kandungan bertemakan penghantaran kargo palsu. Mesej ini termasuk arkib ZIP yang menempatkan fail pintasan Windows (LNK). Apabila dilaksanakan, fail LNK menggunakan PowerShell untuk melancarkan dokumen Microsoft Excel yang menipu sambil pada masa yang sama memasang pintu belakang EAGLET DLL pada sistem yang terjejas.
Dokumen tipuan itu merujuk kepada Obltransterminal, pengendali terminal kontena kereta api Rusia yang disetujui oleh Pejabat Kawalan Aset Asing (OFAC) Perbendaharaan AS pada Februari 2024—langkah yang mungkin bertujuan untuk menambah kredibiliti dan kesegeraan kepada tarikan.
Di dalam EAGLET: Keupayaan dan Komunikasi C2
Pintu belakang EAGLET ialah implan tersembunyi yang direka untuk pengumpulan risikan dan akses berterusan. Keupayaannya termasuk:
- Mengumpul maklumat sistem
- Menyambung ke pelayan C2 berkod keras pada alamat IP 185.225.17.104
- Menghuraikan respons HTTP untuk mendapatkan semula arahan untuk dilaksanakan
Implan mempunyai akses shell interaktif dan menyokong operasi muat naik/muat turun fail. Walau bagaimanapun, disebabkan status luar talian semasa pelayan Command-and-Control (C2), penganalisis tidak dapat menentukan skop penuh kemungkinan muatan peringkat seterusnya.
Hubungan dengan Pelakon Ancaman Lain: EAGLET dan Head Mare
Bukti menunjukkan bahawa UNG0901 tidak beroperasi secara berasingan. Kempen serupa menggunakan EAGLET telah diperhatikan menyasarkan entiti tambahan dalam sektor ketenteraan Rusia. Operasi ini mendedahkan hubungan dengan kumpulan ancaman lain yang dikenali sebagai Head Mare, yang dikenal pasti untuk tumpuannya pada organisasi Rusia.
Penunjuk utama pertindihan termasuk:
- Persamaan kod sumber antara set alat EAGLET dan Head Mare
- Konvensyen penamaan yang dikongsi dalam lampiran pancingan data
Persamaan fungsi antara EAGLET dan PhantomDL, pintu belakang berasaskan Go yang terkenal dengan keupayaan shell dan pemindahan failnya
Pengambilan Utama: Tanda Amaran dan Ancaman Berterusan
Kempen ini menyerlahkan peningkatan ketepatan operasi pancingan lembing, terutamanya yang menggunakan gewang khusus domain seperti dokumen TTN. Penggunaan entiti yang disekat dalam fail tipuan, digabungkan dengan perisian hasad tersuai seperti EAGLET, menggambarkan trend yang semakin meningkat dalam kempen pengintipan sangat disasarkan yang bertujuan untuk infrastruktur kritikal.
Petunjuk kompromi dan bendera merah untuk diperhatikan:
- E-mel merujuk dokumen kargo atau penghantaran daripada entiti Rusia yang dibenarkan.
- Lampiran ZIP mencurigakan yang mengandungi fail LNK yang melaksanakan perintah PowerShell.
- Sambungan keluar ke IP yang tidak dikenali.
Profesional keselamatan siber harus sentiasa berwaspada terhadap taktik yang berubah oleh pelaku ancaman seperti UNG0901, terutamanya apabila mereka menyasarkan sektor sensitif dengan implan perisian hasad tersuai dan kit alat bertindih.
