EAGLET Backdoor Malware

Ang Cyberespionage ay patuloy na umuunlad, kasama ang mga aktor ng pagbabanta na nauugnay sa estado na gumagamit ng mga mas mapanlinlang na taktika. Ang isa sa mga pinakabagong insidente ay nagsasangkot ng isang detalyadong kampanya na naglalayong ikompromiso ang aerospace at sektor ng depensa ng Russia, gamit ang isang custom na backdoor na pinangalanang EAGLET para sa patagong pagsubaybay at pagnanakaw ng data.

Natukoy ang Target: Russian Aerospace Under Siege

Ang kampanya, na kilala bilang Operation CargoTalon, ay naiugnay sa isang cluster ng banta na may label na UNG0901 (Hindi Kilalang Grupo 901). Itinakda ng pangkat na ito ang mga pasyalan nito sa Voronezh Aircraft Production Association (VASO), isang pangunahing entity sa pagmamanupaktura ng sasakyang panghimpapawid ng Russia. Gumagamit ang mga umaatake ng mga taktika ng spear-phishing na nagsasamantala sa mga dokumentong 'товарно-транспортная накладная' (TTN), isang uri ng cargo transport form na kritikal sa mga operasyong logistik sa loob ng Russia.

Paano Lumaganap ang Pag-atake: Mga Armas na Pang-akit at Malware Deployment

Nagsisimula ang chain ng impeksyon sa mga email na spear-phishing na naglalaman ng pekeng content na may temang paghahatid ng kargamento. Kasama sa mga mensaheng ito ang mga ZIP archive na naglalaman ng Windows shortcut (LNK) file. Kapag naisakatuparan, ang LNK file ay gumagamit ng PowerShell para maglunsad ng decoy na dokumento ng Microsoft Excel habang sabay-sabay na ini-install ang EAGLET DLL backdoor sa nakompromisong system.

Ang decoy document ay tumutukoy sa Obltransterminal, isang Russian railway container terminal operator na pinahintulutan ng US Treasury's Office of Foreign Assets Control (OFAC) noong Pebrero 2024—isang hakbang na malamang na naglalayong magdagdag ng kredibilidad at pagkaapurahan sa pang-akit.

Sa loob ng EAGLET: Mga Kakayahan at C2 na Komunikasyon

Ang backdoor ng EAGLET ay isang patagong implant na idinisenyo para sa pangangalap ng katalinuhan at patuloy na pag-access. Kasama sa mga kakayahan nito ang:

• Pagkolekta ng impormasyon ng system
• Kumokonekta sa isang hardcoded C2 server sa IP address 185.225.17.104
• Pag-parse ng mga tugon sa HTTP upang kunin ang mga command para sa pagpapatupad

Nagtatampok ang implant ng interactive na pag-access sa shell at sumusuporta sa mga operasyon sa pag-upload/pag-download ng file. Gayunpaman, dahil sa kasalukuyang offline na status ng Command-and-Control (C2) server, hindi natukoy ng mga analyst ang buong saklaw ng mga posibleng susunod na yugto ng mga payload.

Mga Kaugnayan sa Iba Pang Banta na Aktor: EAGLET at Head Mare

Iminumungkahi ng ebidensya na ang UNG0901 ay hindi gumagana nang hiwalay. Ang mga katulad na kampanyang nagde-deploy ng EAGLET ay naobserbahang nagta-target ng mga karagdagang entity sa sektor ng militar ng Russia. Ang mga operasyong ito ay nagpapakita ng mga koneksyon sa isa pang grupo ng pagbabanta na kilala bilang Head Mare, na kinilala para sa pagtutok nito sa mga organisasyong Ruso.

Ang mga pangunahing tagapagpahiwatig ng overlap ay kinabibilangan ng:

• Mga pagkakatulad ng source code sa pagitan ng mga toolset ng EAGLET at Head Mare
• Nakabahaging mga kumbensyon sa pagbibigay ng pangalan sa mga attachment ng phishing

Mga functional na pagkakahawig sa pagitan ng EAGLET at PhantomDL, isang Go-based na backdoor na kilala sa mga kakayahan nitong shell at file-transfer

Mga Pangunahing Takeaway: Mga Palatandaan ng Babala at Patuloy na Banta

Itinatampok ng campaign na ito ang pagtaas ng katumpakan ng mga pagpapatakbo ng spear-phishing, lalo na ang mga gumagamit ng mga pang-akit na partikular sa domain gaya ng mga dokumento ng TTN. Ang paggamit ng mga sanction na entity sa mga decoy file, na sinamahan ng custom na malware tulad ng EAGLET, ay naglalarawan ng lumalaking trend sa mataas na naka-target na mga kampanyang espiya na naglalayong kritikal na imprastraktura.

Mga tagapagpahiwatig ng kompromiso at mga pulang bandila na dapat bantayan:

• Mga email na tumutukoy sa mga dokumento ng kargamento o paghahatid mula sa mga sanction na entity ng Russia.
• Mga kahina-hinalang ZIP attachment na naglalaman ng mga LNK file na nagpapatupad ng mga PowerShell command.
• Mga papalabas na koneksyon sa mga hindi pamilyar na IP.

Ang mga propesyonal sa cybersecurity ay dapat manatiling alerto sa mga umuusbong na taktika ng mga aktor ng pagbabanta tulad ng UNG0901, lalo na kapag nagta-target sila ng mga sensitibong sektor na may mga naka-customize na malware implant at magkakapatong na toolkit.