EAGLET Bakdørsskadevare
Cyberspionasje fortsetter å utvikle seg, med statstilknyttede trusselaktører som bruker stadig mer villedende taktikker. En av de siste hendelsene involverer en omfattende kampanje som tar sikte på å kompromittere Russlands luftfarts- og forsvarssektorer, ved bruk av en spesiallaget bakdør kalt EAGLET for skjult overvåking og datatyveri.
Innholdsfortegnelse
Mål identifisert: Russisk luftfart under beleiring
Kampanjen, kjent som Operasjon CargoTalon, har blitt tilskrevet en trusselklynge merket UNG0901 (Ukjent gruppe 901). Denne gruppen har rettet blikket mot Voronezh Aircraft Production Association (VASO), en stor russisk flyprodusent. Angriperne bruker spear-phishing-taktikker som utnytter «товарно-транспортная накладная» (TTN)-dokumenter, en type godstransportform som er kritisk for logistikkoperasjoner i Russland.
Hvordan angrepet utfolder seg: Våpnede lokkemidler og distribusjon av skadelig programvare
Infeksjonskjeden starter med spear-phishing-e-poster som inneholder falskt innhold med temaet fraktlevering. Disse meldingene inkluderer ZIP-arkiver som inneholder en Windows-snarveifil (LNK). Når LNK-filen kjøres, bruker den PowerShell til å starte et avbildningsdokument fra Microsoft Excel, samtidig som den installerer EAGLET DLL-bakdøren på det kompromitterte systemet.
Lokkedokumentet refererer til Obltransterminal, en russisk jernbanecontainerterminaloperatør som ble sanksjonert av det amerikanske finansdepartementets Office of Foreign Assets Control (OFAC) i februar 2024 – et trekk som sannsynligvis er ment å gi lokkemiddelet troverdighet og hastverk.
Inni EAGLET: Evner og C2-kommunikasjon
EAGLET-bakdøren er et skjult implantat designet for etterretningsinnsamling og vedvarende tilgang. Funksjonene inkluderer:
- Samle inn systeminformasjon
- Kobler til en hardkodet C2-server på IP-adressen 185.225.17.104
- Parser HTTP-svar for å hente kommandoer for utførelse
Implantatet har interaktiv skalltilgang og støtter filopplasting/nedlasting. På grunn av den nåværende offline-statusen til Command-and-Control (C2)-serveren har imidlertid ikke analytikere vært i stand til å bestemme hele omfanget av mulige nyttelaster i neste trinn.
Bånd til andre trusselaktører: EAGLET og Head Mare
Bevis tyder på at UNG0901 ikke opererer isolert. Lignende kampanjer med bruk av EAGLET har blitt observert rettet mot ytterligere enheter i Russlands militære sektor. Disse operasjonene avslører forbindelser til en annen trusselgruppe kjent som Head Mare, identifisert for sitt fokus på russiske organisasjoner.
Viktige indikatorer på overlapping inkluderer:
- Likheter i kildekoden mellom EAGLET- og Head Mare-verktøysettene
- Delte navnekonvensjoner i phishing-vedlegg
Funksjonelle likheter mellom EAGLET og PhantomDL, en Go-basert bakdør kjent for sine skall- og filoverføringsmuligheter
Viktige konklusjoner: Varseltegn og vedvarende trusler
Denne kampanjen fremhever den økende presisjonen i spear-phishing-operasjoner, spesielt de som bruker domenespesifikke lokkemidler som TTN-dokumenter. Bruken av sanksjonerte enheter i lokkemidler, kombinert med tilpasset skadelig programvare som EAGLET, illustrerer en økende trend i svært målrettede spionasjekampanjer rettet mot kritisk infrastruktur.
Indikatorer for kompromiss og røde flagg å se etter:
- E-poster som refererer til last eller leveringsdokumenter fra sanksjonerte russiske enheter.
- Mistenkelige ZIP-vedlegg som inneholder LNK-filer som kjører PowerShell-kommandoer.
- Utgående tilkoblinger til ukjente IP-adresser.
Cybersikkerhetsfagfolk bør være oppmerksomme på de utviklende taktikkene til trusselaktører som UNG0901, spesielt ettersom de retter seg mot sensitive sektorer med tilpassede skadevareimplantater og overlappende verktøysett.
