EAGLET బ్యాక్‌డోర్ మాల్వేర్

సైబర్ గూఢచర్యం అభివృద్ధి చెందుతూనే ఉంది, రాష్ట్ర-సంబంధిత బెదిరింపు నటులు పెరుగుతున్న మోసపూరిత వ్యూహాలను ఉపయోగిస్తున్నారు. తాజా సంఘటనలలో ఒకటి రష్యా యొక్క అంతరిక్ష మరియు రక్షణ రంగాలను రాజీ చేయడానికి ఉద్దేశించిన విస్తృతమైన ప్రచారం, రహస్య నిఘా మరియు డేటా దొంగతనం కోసం EAGLET అనే కస్టమ్ బ్యాక్‌డోర్‌ను ఉపయోగించడం.

లక్ష్యం గుర్తింపు: రష్యన్ అంతరిక్ష నౌక ముట్టడిలో ఉంది

ఆపరేషన్ కార్గోటాలన్ అని పిలువబడే ఈ ప్రచారానికి UNG0901 (తెలియని సమూహం 901) అని లేబుల్ చేయబడిన బెదిరింపు క్లస్టర్ కారణమని చెప్పబడింది. ఈ బృందం రష్యన్ విమాన తయారీ సంస్థ అయిన వోరోనెజ్ ఎయిర్‌క్రాఫ్ట్ ప్రొడక్షన్ అసోసియేషన్ (VASO) పై దృష్టి పెట్టింది. దాడి చేసేవారు రష్యాలోని లాజిస్టిక్స్ కార్యకలాపాలకు కీలకమైన కార్గో రవాణా రూపం అయిన 'టోవర్నో-ట్రాన్స్‌పోర్ట్ నక్లాడ్నయా' (TTN) పత్రాలను దోపిడీ చేసే స్పియర్-ఫిషింగ్ వ్యూహాలను ఉపయోగిస్తారు.

దాడి ఎలా బయటపడుతుంది: ఆయుధీకరించబడిన ఎరలు మరియు మాల్వేర్ విస్తరణ

ఈ ఇన్ఫెక్షన్ గొలుసు నకిలీ కార్గో డెలివరీ-నేపథ్య కంటెంట్‌ను కలిగి ఉన్న స్పియర్-ఫిషింగ్ ఇమెయిల్‌లతో ప్రారంభమవుతుంది. ఈ సందేశాలలో విండోస్ షార్ట్‌కట్ (LNK) ఫైల్‌ను కలిగి ఉన్న ZIP ఆర్కైవ్‌లు ఉంటాయి. అమలు చేసినప్పుడు, LNK ఫైల్ పవర్‌షెల్‌ను ఉపయోగించి డెకోయ్ మైక్రోసాఫ్ట్ ఎక్సెల్ డాక్యుమెంట్‌ను ప్రారంభిస్తుంది, అదే సమయంలో రాజీపడిన సిస్టమ్‌లో EAGLET DLL బ్యాక్‌డోర్‌ను ఇన్‌స్టాల్ చేస్తుంది.

ఈ డెకాయ్ డాక్యుమెంట్ ఫిబ్రవరి 2024లో US ట్రెజరీ ఆఫీస్ ఆఫ్ ఫారిన్ అసెట్స్ కంట్రోల్ (OFAC) ద్వారా మంజూరు చేయబడిన రష్యన్ రైల్వే కంటైనర్ టెర్మినల్ ఆపరేటర్ అయిన Obltransterminal గురించి ప్రస్తావించింది - ఈ చర్య బహుశా ఆకర్షణకు విశ్వసనీయత మరియు ఆవశ్యకతను జోడించడానికి ఉద్దేశించబడింది.

EAGLET లోపల: సామర్థ్యాలు మరియు C2 కమ్యూనికేషన్

EAGLET బ్యాక్‌డోర్ అనేది నిఘా సేకరణ మరియు నిరంతర యాక్సెస్ కోసం రూపొందించబడిన ఒక రహస్య ఇంప్లాంట్. దీని సామర్థ్యాలు:

• సిస్టమ్ సమాచారాన్ని సేకరిస్తోంది
• IP చిరునామా 185.225.17.104 వద్ద హార్డ్‌కోడ్ చేయబడిన C2 సర్వర్‌కు కనెక్ట్ అవుతోంది
• అమలు కోసం ఆదేశాలను తిరిగి పొందడానికి HTTP ప్రతిస్పందనలను అన్వయించడం

ఈ ఇంప్లాంట్ ఇంటరాక్టివ్ షెల్ యాక్సెస్‌ను కలిగి ఉంటుంది మరియు ఫైల్ అప్‌లోడ్/డౌన్‌లోడ్ ఆపరేషన్‌లకు మద్దతు ఇస్తుంది. అయితే, కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్ యొక్క ప్రస్తుత ఆఫ్‌లైన్ స్థితి కారణంగా, విశ్లేషకులు తదుపరి-దశ పేలోడ్‌ల పూర్తి పరిధిని గుర్తించలేకపోయారు.

ఇతర బెదిరింపు నటులతో సంబంధాలు: ఈగిల్ మరియు హెడ్ మేర్

UNG0901 ఒంటరిగా పనిచేయడం లేదని ఆధారాలు సూచిస్తున్నాయి. రష్యా సైనిక రంగంలోని అదనపు సంస్థలను లక్ష్యంగా చేసుకుని EAGLETని మోహరించే ఇలాంటి ప్రచారాలు గమనించబడ్డాయి. ఈ కార్యకలాపాలు హెడ్ మేర్ అని పిలువబడే మరొక ముప్పు సమూహంతో సంబంధాలను వెల్లడిస్తున్నాయి, ఇది రష్యన్ సంస్థలపై దృష్టి సారించినందుకు గుర్తించబడింది.

అతివ్యాప్తి యొక్క ముఖ్య సూచికలు:

• EAGLET మరియు హెడ్ మేర్ టూల్‌సెట్‌ల మధ్య సోర్స్ కోడ్ సారూప్యతలు
• ఫిషింగ్ అటాచ్‌మెంట్‌లలో భాగస్వామ్య నామకరణ సంప్రదాయాలు

EAGLET మరియు PhantomDL మధ్య క్రియాత్మక సారూప్యతలు, షెల్ మరియు ఫైల్-ట్రాన్స్‌ఫర్ సామర్థ్యాలకు ప్రసిద్ధి చెందిన గో-ఆధారిత బ్యాక్‌డోర్.

ముఖ్యమైన విషయాలు: హెచ్చరిక సంకేతాలు మరియు నిరంతర బెదిరింపులు

ఈ ప్రచారం స్పియర్-ఫిషింగ్ కార్యకలాపాల యొక్క పెరుగుతున్న ఖచ్చితత్వాన్ని హైలైట్ చేస్తుంది, ముఖ్యంగా TTN పత్రాలు వంటి డొమైన్-నిర్దిష్ట ఎరలను ఉపయోగించేవి. డెకాయ్ ఫైల్‌లలో మంజూరు చేయబడిన ఎంటిటీల ఉపయోగం, EAGLET వంటి కస్టమ్ మాల్వేర్‌తో కలిపి, కీలకమైన మౌలిక సదుపాయాలను లక్ష్యంగా చేసుకుని అత్యంత లక్ష్యంగా చేసుకున్న గూఢచర్య ప్రచారాలలో పెరుగుతున్న ధోరణిని వివరిస్తుంది.

రాజీ పడటానికి మరియు గమనించవలసిన హెచ్చరికల సూచికలు:

• మంజూరు చేయబడిన రష్యన్ సంస్థల నుండి కార్గో లేదా డెలివరీ పత్రాలను సూచించే ఇమెయిల్‌లు.
• పవర్‌షెల్ ఆదేశాలను అమలు చేసే LNK ఫైల్‌లను కలిగి ఉన్న అనుమానాస్పద ZIP అటాచ్‌మెంట్‌లు.
• తెలియని IP లకు అవుట్‌బౌండ్ కనెక్షన్లు.

UNG0901 వంటి ముప్పు కలిగించే వ్యక్తుల అభివృద్ధి చెందుతున్న వ్యూహాల పట్ల సైబర్ భద్రతా నిపుణులు అప్రమత్తంగా ఉండాలి, ప్రత్యేకించి వారు అనుకూలీకరించిన మాల్వేర్ ఇంప్లాంట్‌లు మరియు అతివ్యాప్తి చెందుతున్న టూల్‌కిట్‌లతో సున్నితమైన రంగాలను లక్ష్యంగా చేసుకుంటారు.