Шкідливе програмне забезпечення Backdoor від EAGLET
Кібершпигунство продовжує розвиватися, а пов'язані з державою кіберзлочинці використовують дедалі більш обманливу тактику. Один з останніх інцидентів пов'язаний з ретельно продуманою кампанією, спрямованою на компрометацію російського аерокосмічного та оборонного секторів, з використанням спеціального бекдору під назвою EAGLET для прихованого спостереження та крадіжки даних.
Зміст
Ціль визначена: російський космічний апарат в облозі
Кампанія, відома як операція CargoTalon, була пов'язана з кластером загроз з позначкою UNG0901 (Невідома група 901). Ця група націлилася на Воронезьке авіаційне виробниче об'єднання (ВАСО), велике російське підприємство з виробництва літаків. Зловмисники використовують тактику фішингу, використовуючи документи «товарно-транспортна накладна» (TTN) – тип форми вантажного транспорту, критично важливу для логістичних операцій у Росії.
Як розгортається атака: приманки у вигляді зброї та розгортання шкідливого програмного забезпечення
Ланцюг зараження починається з фішингових електронних листів, що містять фальшивий контент на тему доставки вантажів. Ці повідомлення містять ZIP-архіви, що містять файл ярлика Windows (LNK). Під час виконання LNK-файл використовує PowerShell для запуску документа Microsoft Excel, одночасно встановлюючи бекдор EAGLET DLL на скомпрометовану систему.
У документі-приманці згадується «Облтранстермінал» – російський оператор залізничних контейнерних терміналів, на якого було накладено санкції Управлінням з контролю за іноземними активами (OFAC) Міністерства фінансів США у лютому 2024 року – крок, ймовірно, спрямований на те, щоб додати привабливості та актуальності.
Всередині EAGLET: можливості та комунікація C2
Бекдор EAGLET — це прихований імплантат, призначений для збору розвідувальних даних та постійного доступу. Його можливості включають:
- Збір системної інформації
- Підключення до жорстко запрограмованого сервера C2 за IP-адресою 185.225.17.104
- Розбір HTTP-відповідей для отримання команд для виконання
Імплантат має інтерактивний доступ до оболонки та підтримує операції завантаження/вивантаження файлів. Однак, через поточний офлайн-статус сервера командування та управління (C2), аналітики не змогли визначити повний обсяг можливих корисних навантажень наступного етапу.
Зв'язки з іншими загрозливими гравцями: EAGLET та Head Mare
Докази свідчать про те, що UNG0901 не діє ізольовано. Подібні кампанії з розгортанням EAGLET були помічені проти інших організацій у військовому секторі Росії. Ці операції виявляють зв'язки з іншою групою загроз, відомою як Head Mare, яка зосереджена на російських організаціях.
Ключові показники перекриття включають:
- Подібність вихідного коду між наборами інструментів EAGLET та Head Mare
- Спільні правила іменування у фішингових вкладеннях
Функціональна схожість між EAGLET та PhantomDL, бекдором на базі Go, відомим своєю оболонкою та можливостями передачі файлів
Ключові висновки: попереджувальні знаки та постійні загрози
Ця кампанія підкреслює зростання точності фішингових операцій, особливо тих, що використовують приманки, специфічні для домену, такі як документи TTN. Використання санкціонованих об'єктів у файлах-приманках у поєднанні зі спеціалізованим шкідливим програмним забезпеченням, таким як EAGLET, ілюструє зростаючу тенденцію до вузько цільових шпигунських кампаній, спрямованих на критичну інфраструктуру.
Ознаки компромісу та тривожні сигнали, на які слід звернути увагу:
- Електронні листи, що містять посилання на вантажні або транспортні документи від російських організацій, на які поширюються санкції.
- Підозрілі ZIP-вкладення, що містять LNK-файли, що виконують команди PowerShell.
- Вихідні з'єднання з незнайомими IP-адресами.
Фахівці з кібербезпеки повинні бути уважними до тактик, що розвиваються, зловмисників, таких як UNG0901, особливо враховуючи, що вони націлюються на чутливі сектори за допомогою спеціалізованих імплантатів шкідливого програмного забезпечення та дублюючихся інструментів.
