Злонамерни софтвер EAGLET
Сајбер шпијунажа се наставља развијати, а актери претњи повезани са државама користе све обмањујуће тактике. Један од најновијих инцидената укључује сложену кампању усмерену на угрожавање руског ваздухопловног и одбрамбеног сектора, користећи прилагођени бекдор под називом EAGLET за тајни надзор и крађу података.
Преглед садржаја
Идентификована мета: Руски ваздухопловни систем под опсадом
Кампања, позната као Операција КаргоТалон, приписана је групи претњи означеној као UNG0901 (Непозната група 901). Ова група је усмерила поглед на Воронежко удружење за производњу авиона (ВАСО), велики руски произвођач авиона. Нападачи користе тактику фишинга која искоришћава документа „товарно-транспортная накладная“ (ТТН), врсту обрасца за транспорт терета који је кључан за логистичке операције у Русији.
Како се напад одвија: Мамци са оружјем и распоређивање злонамерног софтвера
Ланац инфекције почиње фишинг имејловима који садрже лажни садржај на тему испоруке терета. Ове поруке укључују ZIP архиве које садрже Windows пречицу (LNK) датотеку. Када се покрене, LNK датотека користи PowerShell да покрене мамац за Microsoft Excel документ, док истовремено инсталира EAGLET DLL бацкдоор на угроженом систему.
У документу-мамцу помиње се Облтранстерминал, руски оператер железничког контејнерског терминала кога је санкционисала Канцеларија за контролу стране имовине (OFAC) Министарства финансија САД у фебруару 2024. године – потез који је вероватно имао за циљ да дода кредибилитет и хитност привлачности.
Унутар EAGLET-а: Могућности и C2 комуникација
Задња врата EAGLET су прикривени имплантат дизајниран за прикупљање обавештајних података и трајан приступ. Његове могућности укључују:
- Прикупљање системских информација
- Повезивање са хардкодираним C2 сервером на IP адреси 185.225.17.104
- Парсирање HTTP одговора ради преузимања команди за извршавање
Имплантат има интерактивни приступ командној схелл-у и подржава операције отпремања/преузимања датотека. Међутим, због тренутног офлајн статуса Командно-контролног (C2) сервера, аналитичари нису били у могућности да утврде пун обим могућих корисних терета следеће фазе.
Везе са другим актерима претње: EAGLET и Head Mare
Докази указују на то да UNG0901 не делује изоловано. Сличне кампање у којима је коришћена група EAGLET примећене су усмерене на додатне ентитете у руском војном сектору. Ове операције откривају везе са другом претећом групом познатом као Head Mare, која је препозната по свом фокусу на руске организације.
Кључни индикатори преклапања укључују:
- Сличности изворног кода између алата EAGLET и Head Mare
- Дељене конвенције именовања у фишинг прилозима
Функционалне сличности између EAGLET-а и PhantomDL-а, задњег врата заснованог на Go-у познатог по својим могућностима љуске и преноса датотека
Кључне закључке: Упозоравајући знаци и сталне претње
Ова кампања истиче све већу прецизност операција фишинга, посебно оних које користе мамце специфичне за домен, као што су TTN документи. Употреба санкционисаних ентитета у датотекама мамаца, у комбинацији са прилагођеним злонамерним софтвером попут EAGLET-а, илуструје растући тренд у високо циљаним шпијунским кампањама усмереним на критичну инфраструктуру.
Индикатори компромиса и црвене заставице на које треба обратити пажњу:
- Имејлови који се односе на терет или документа о испоруци од санкционисаних руских субјеката.
- Сумњиви ZIP прилози који садрже LNK датотеке које извршавају PowerShell команде.
- Одлазне везе ка непознатим ИП адресама.
Стручњаци за сајбер безбедност треба да буду свесни развоја тактика претњи попут UNG0901, посебно зато што циљају осетљиве секторе прилагођеним имплантатима злонамерног софтвера и преклапајућим алатима.
