EAGLET Bakdörrs-skadlig kod
Cyberspionage fortsätter att utvecklas, och hotande aktörer med kopplingar till statliga myndigheter använder sig av alltmer vilseledande taktiker. En av de senaste incidenterna involverar en omfattande kampanj som syftar till att kompromettera Rysslands flyg- och försvarssektorer, med hjälp av en specialbyggd bakdörr som heter EAGLET för hemlig övervakning och datastöld.
Innehållsförteckning
Mål identifierat: Ryskt flygplan under belägring
Kampanjen, känd som Operation CargoTalon, har tillskrivits ett hotkluster märkt UNG0901 (Okänd Grupp 901). Denna grupp har siktet inställt på Voronezh Aircraft Production Association (VASO), en stor rysk flygplanstillverkningsenhet. Angriparna använder spear-phishing-taktik som utnyttjar dokument som "товарно-транспортная накладная" (TTN), en typ av godstransportform som är avgörande för logistikverksamheten inom Ryssland.
Hur attacken utvecklas: Vapenförsedda lockbeten och distribution av skadlig kod
Infektionskedjan börjar med spear-phishing-mejl som innehåller falskt innehåll med temat fraktleverans. Dessa meddelanden inkluderar ZIP-arkiv som innehåller en Windows-genvägsfil (LNK). När LNK-filen körs använder den PowerShell för att starta ett lockbeteende Microsoft Excel-dokument samtidigt som den installerar EAGLET DLL-bakdörren på det komprometterade systemet.
Dokumentet hänvisar till Obltransterminal, en rysk järnvägscontainerterminaloperatör som sanktionerades av det amerikanska finansdepartementets Office of Foreign Assets Control (OFAC) i februari 2024 – ett drag som sannolikt syftar till att öka trovärdigheten och göra lockelsen mer brådskande.
Inuti EAGLET: Funktioner och C2-kommunikation
EAGLET-bakdörren är ett smygande implantat utformat för informationsinsamling och kontinuerlig åtkomst. Dess funktioner inkluderar:
- Samlar in systeminformation
- Ansluter till en hårdkodad C2-server på IP-adressen 185.225.17.104
- Parsa HTTP-svar för att hämta kommandon för körning
Implantatet har interaktiv skalåtkomst och stöder filuppladdning/nedladdning. På grund av Command-and-Control (C2)-serverns nuvarande offline-status har analytiker dock inte kunnat fastställa hela omfattningen av möjliga nyttolaster i nästa steg.
Kopplingar till andra hotande aktörer: EAGLET och Head Mare
Bevis tyder på att UNG0901 inte verkar isolerat. Liknande kampanjer med EAGLET har observerats riktade mot ytterligare enheter inom Rysslands militära sektor. Dessa operationer avslöjar kopplingar till en annan hotgrupp känd som Head Mare, identifierad för sitt fokus på ryska organisationer.
Viktiga indikatorer på överlappning inkluderar:
- Likheter i källkoden mellan EAGLET- och Head Mare-verktygen
- Delade namngivningskonventioner i nätfiskebilagor
Funktionella likheter mellan EAGLET och PhantomDL, en Go-baserad bakdörr känd för sina skal- och filöverföringsfunktioner
Viktiga slutsatser: Varningstecken och ihållande hot
Denna kampanj belyser den ökande precisionen i spear-phishing-operationer, särskilt de som använder domänspecifika lockbete som TTN-dokument. Användningen av sanktionerade enheter i lockbetefiler, i kombination med anpassad skadlig kod som EAGLET, illustrerar en växande trend mot mycket riktade spionkampanjer riktade mot kritisk infrastruktur.
Indikatorer på kompromiss och varningssignaler att hålla utkik efter:
- E-postmeddelanden som hänvisar till frakt- eller leveransdokument från sanktionerade ryska enheter.
- Misstänkta ZIP-bilagor som innehåller LNK-filer som kör PowerShell-kommandon.
- Utgående anslutningar till okända IP-adresser.
Cybersäkerhetsexperter bör vara uppmärksamma på de föränderliga taktikerna hos hotaktörer som UNG0901, särskilt eftersom de riktar in sig på känsliga sektorer med anpassade implantat av skadlig kod och överlappande verktyg.
