EAGLET后门恶意软件
网络间谍活动不断演变,与政府相关的威胁行为者使用的欺骗性手段日益增多。最近的一起事件涉及一场精心策划的攻击活动,旨在入侵俄罗斯的航空航天和国防部门,利用名为 EAGLET 的定制后门进行秘密监视和数据窃取。
目录
目标已确定:俄罗斯航空航天业遭围攻
此次名为“CargoTalon行动”的攻击活动已被归咎于一个名为UNG0901(未知组织901)的威胁集群。该组织将目标锁定在俄罗斯一家大型飞机制造企业——沃罗涅日飞机生产协会(VASO)。攻击者采用鱼叉式网络钓鱼策略,利用“товарно-транспортная накладная”(TTN)文件,这是一种对俄罗斯境内物流运营至关重要的货物运输单据。
攻击如何展开:武器化诱饵和恶意软件部署
感染链始于包含虚假货物运输主题内容的鱼叉式网络钓鱼电子邮件。这些邮件包含一个包含 Windows 快捷方式 (LNK) 文件的 ZIP 压缩包。执行后,LNK 文件会使用 PowerShell 启动一个诱饵 Microsoft Excel 文档,同时在受感染系统上安装 EAGLET DLL 后门。
诱饵文件提到了 Obltransterminal,这是一家俄罗斯铁路集装箱码头运营商,于 2024 年 2 月受到美国财政部外国资产控制办公室 (OFAC) 的制裁——此举可能是为了增加诱饵的可信度和紧迫性。
EAGLET 内部:功能和 C2 通信
EAGLET 后门是一种隐蔽植入物,旨在收集情报并实现持续访问。其功能包括:
- 收集系统信息
- 连接到 IP 地址为 185.225.17.104 的硬编码 C2 服务器
- 解析 HTTP 响应以检索要执行的命令
该植入程序具有交互式shell访问功能,并支持文件上传/下载操作。然而,由于命令与控制(C2)服务器目前处于离线状态,分析人员尚无法确定下一阶段可能的有效载荷的全部范围。
与其他威胁行为者的联系:EAGLET 和 Head Mare
有证据表明,UNG0901 并非孤立行动。类似的部署 EAGLET 的活动已被观察到针对俄罗斯军事部门的其他实体。这些行动揭示了其与另一个名为 Head Mare 的威胁组织存在关联,该组织以俄罗斯组织为目标。
重叠的关键指标包括:
- EAGLET 和 Head Mare 工具集之间的源代码相似性
- 网络钓鱼附件中的共享命名约定
EAGLET 与 PhantomDL 功能相似,后者是基于 Go 的后门,以其 shell 和文件传输功能而闻名
关键要点:警告信号和持续威胁
此次攻击活动凸显了鱼叉式网络钓鱼攻击的精准度不断提升,尤其是那些使用特定域名诱饵(例如 TTN 文档)的攻击。诱饵文件中使用受制裁实体,并结合 EAGLET 等自定义恶意软件,表明针对关键基础设施的高度针对性间谍活动日益增多。
需要注意的妥协指标和危险信号:
- 提及受制裁的俄罗斯实体的货物或交货文件的电子邮件。
- 可疑的 ZIP 附件包含执行 PowerShell 命令的 LNK 文件。
- 到陌生 IP 的出站连接。
网络安全专业人员应保持警惕,警惕 UNG0901 等威胁行为者不断演变的策略,尤其是当他们使用定制的恶意软件植入和重叠的工具包瞄准敏感行业时。
