Zlonamerna programska oprema EAGLET za zakulisjem
Kibernetsko vohunjenje se še naprej razvija, pri čemer državni akterji uporabljajo vse bolj zavajajoče taktike. Eden najnovejših incidentov vključuje dovršeno kampanjo, namenjeno ogrožanju ruskega vesoljskega in obrambnega sektorja, pri čemer se za prikrito nadzorovanje in krajo podatkov uporablja poseben stranski vhod EAGLET.
Kazalo
Cilj identificiran: rusko vesoljsko plovilo pod obleganjem
Kampanja, znana kot Operacija CargoTalon, je bila pripisana skupini groženj z oznako UNG0901 (Neznana skupina 901). Ta skupina si je zadala cilj Voronežje združenje za proizvodnjo letal (VASO), pomembno rusko podjetje za proizvodnjo letal. Napadalci uporabljajo taktike lažnega predstavljanja, ki izkoriščajo dokumente »tovarno-transportnaya nakladnaya« (TTN), vrsto obrazca za prevoz tovora, ki je ključnega pomena za logistične operacije v Rusiji.
Kako se napad odvija: orožne vabe in namestitev zlonamerne programske opreme
Veriga okužbe se začne z lažnimi e-poštnimi sporočili, ki vsebujejo lažno vsebino o dostavi tovora. Ta sporočila vključujejo arhive ZIP, ki vsebujejo datoteko bližnjice sistema Windows (LNK). Ko se datoteka LNK izvede, uporabi PowerShell za zagon lažnega dokumenta Microsoft Excel, hkrati pa na ogroženi sistem namesti zadnja vrata EAGLET DLL.
V dokumentu z vabo se omenja Obltransterminal, ruski operater železniškega kontejnerskega terminala, ki ga je februarja 2024 sankcioniral Urad za nadzor tujega premoženja (OFAC) pri ameriškem finančnem ministrstvu – poteza, ki je verjetno namenjena temu, da bi vabi dodali kredibilnost in nujnost.
V notranjosti EAGLET-a: Zmogljivosti in komunikacija C2
Zadnja vrata EAGLET so prikriti vsadki, zasnovani za zbiranje obveščevalnih podatkov in trajen dostop. Njegove zmogljivosti vključujejo:
- Zbiranje sistemskih informacij
- Povezovanje s trdo kodiranim strežnikom C2 na naslovu IP 185.225.17.104
- Razčlenjevanje HTTP odgovorov za pridobivanje ukazov za izvedbo
Vsadek omogoča interaktivni dostop do lupine in podpira nalaganje/prenos datotek. Vendar pa analitiki zaradi trenutnega stanja strežnika za upravljanje in nadzor (C2) niso mogli določiti celotnega obsega možnih koristnih obremenitev naslednje stopnje.
Povezave z drugimi akterji grožnje: EAGLET in Head Mare
Dokazi kažejo, da UNG0901 ne deluje izolirano. Opažene so bile podobne kampanje z uporabo EAGLET, usmerjene tudi v druge subjekte v ruskem vojaškem sektorju. Te operacije razkrivajo povezave z drugo groženjsko skupino, znano kot Head Mare, ki je znana po svoji osredotočenosti na ruske organizacije.
Ključni kazalniki prekrivanja vključujejo:
- Podobnosti izvorne kode med orodji EAGLET in Head Mare
- Konvencije o skupnem poimenovanju v prilogah lažnega predstavljanja
Funkcionalne podobnosti med EAGLET in PhantomDL, backdoorjem, ki temelji na Go-ju, znanim po svojih zmogljivostih lupine in prenosa datotek
Ključni sklepi: Opozorilni znaki in vztrajne grožnje
Ta kampanja poudarja vse večjo natančnost operacij lažnega predstavljanja, zlasti tistih, ki uporabljajo vabe, specifične za domeno, kot so dokumenti TTN. Uporaba sankcioniranih entitet v datotekah z vabami v kombinaciji s prilagojeno zlonamerno programsko opremo, kot je EAGLET, ponazarja naraščajoči trend visoko ciljanih vohunskih kampanj, usmerjenih v kritično infrastrukturo.
Kazalniki kompromisa in opozorilni znaki, na katere morate biti pozorni:
- E-poštna sporočila, ki se nanašajo na tovor ali dobavne dokumente sankcioniranih ruskih subjektov.
- Sumljive priloge ZIP, ki vsebujejo datoteke LNK, ki izvajajo ukaze PowerShell.
- Odhodne povezave do neznanih IP-naslovov.
Strokovnjaki za kibernetsko varnost bi morali biti pozorni na razvijajoče se taktike akterjev groženj, kot je UNG0901, zlasti ker ciljajo na občutljive sektorje s prilagojenimi vsadki zlonamerne programske opreme in prekrivajočimi se kompleti orodij.
