Malware-ul backdoor EAGLET
Ciberspionajul continuă să evolueze, iar actori amenințători legați de stat utilizează tactici din ce în ce mai înșelătoare. Unul dintre cele mai recente incidente implică o campanie elaborată care vizează compromiterea sectoarelor aerospațial și de apărare din Rusia, utilizând o ușă secretă personalizată numită EAGLET pentru supraveghere sub acoperire și furt de date.
Cuprins
Țintă identificată: Aerospațialul rusesc sub asediu
Campania, cunoscută sub numele de Operațiunea CargoTalon, a fost atribuită unui grup de amenințări etichetat UNG0901 (Grup Necunoscut 901). Acest grup și-a îndreptat atenția asupra Asociației de Producție de Avioane din Voronej (VASO), o importantă entitate rusă producătoare de aeronave. Atacatorii folosesc tactici de spear-phishing care exploatează documentele „товарно-транспортная накладная” (TTN), un tip de formă de transport de marfă esențială pentru operațiunile logistice din Rusia.
Cum se desfășoară atacul: momeli armate și implementarea de programe malware
Lanțul de infectare începe cu e-mailuri de tip spear-phishing care conțin conținut fals cu tematică de livrare a mărfurilor. Aceste mesaje includ arhive ZIP care conțin un fișier de comenzi rapide Windows (LNK). Când este executat, fișierul LNK folosește PowerShell pentru a lansa un document Microsoft Excel fals, instalând simultan backdoor-ul EAGLET DLL pe sistemul compromis.
Documentul capcană face referire la Obltransterminal, un operator rus de terminale feroviare de containere sancționat de Biroul pentru Controlul Activelor Străine (OFAC) al Trezoreriei SUA în februarie 2024 - o mișcare probabil menită să adauge credibilitate și urgență ademenirii.
În interiorul EAGLET: Capacități și comunicare C2
Backdoor-ul EAGLET este un implant ascuns conceput pentru colectarea de informații și acces persistent. Capacitățile sale includ:
- Colectarea informațiilor despre sistem
- Conectarea la un server C2 hardcoded la adresa IP 185.225.17.104
- Analizarea răspunsurilor HTTP pentru a prelua comenzi pentru execuție
Implantul dispune de acces interactiv la shell și acceptă operațiuni de încărcare/descărcare a fișierelor. Cu toate acestea, din cauza stării actuale offline a serverului Command-and-Control (C2), analiștii nu au putut determina întreaga gamă de posibile sarcini utile pentru etapa următoare.
Legături cu alți actori amenințători: EAGLET și Head Mare
Dovezile sugerează că UNG0901 nu operează izolat. Au fost observate campanii similare care au implementat EAGLET, vizând alte entități din sectorul militar al Rusiei. Aceste operațiuni dezvăluie legături cu un alt grup amenințător cunoscut sub numele de Head Mare, identificat pentru concentrarea sa asupra organizațiilor rusești.
Indicatorii cheie ai suprapunerii includ:
- Asemănările codului sursă dintre seturile de instrumente EAGLET și Head Mare
- Convenții de denumire partajate în atașamentele de tip phishing
Asemănări funcționale între EAGLET și PhantomDL, un backdoor bazat pe Go, cunoscut pentru capacitățile sale de shell și transfer de fișiere
Concluzii cheie: semne de avertizare și amenințări persistente
Această campanie evidențiază precizia crescândă a operațiunilor de spear-phishing, în special a celor care utilizează momeli specifice domeniului, cum ar fi documentele TTN. Utilizarea entităților sancționate în fișierele-momeală, combinată cu programe malware personalizate precum EAGLET, ilustrează o tendință crescândă a campaniilor de spionaj extrem de precis direcționate, care vizează infrastructura critică.
Indicatori de compromis și semnale de alarmă de urmărit:
- E-mailuri care fac referire la încărcătură sau documente de livrare de la entități ruse sancționate.
- Atașamente ZIP suspecte care conțin fișiere LNK ce execută comenzi PowerShell.
- Conexiuni de ieșire către IP-uri necunoscute.
Profesioniștii în domeniul securității cibernetice ar trebui să rămână atenți la tacticile în continuă evoluție ale actorilor de amenințare precum UNG0901, în special pentru că aceștia vizează sectoare sensibile cu implanturi de malware personalizate și seturi de instrumente care se suprapun.
