EAGLET Backdoor Malware

يستمر التجسس الإلكتروني في التطور، حيث تستخدم جهات التهديد المرتبطة بالدول أساليب خادعة متزايدة. ومن أحدث الحوادث حملة مُحكمة تهدف إلى اختراق قطاعي الفضاء والدفاع في روسيا، باستخدام برمجية خلفية مُخصصة تُسمى EAGLET للمراقبة السرية وسرقة البيانات.

تم تحديد الهدف: الفضاء الجوي الروسي تحت الحصار

نُسبت الحملة، المعروفة باسم عملية كارغو تالون، إلى مجموعة تهديدات تُسمى UNG0901 (المجموعة المجهولة 901). استهدفت هذه المجموعة جمعية فورونيج لإنتاج الطائرات (VASO)، وهي كيان روسي رئيسي لتصنيع الطائرات. يستخدم المهاجمون أساليب تصيد احتيالي موجهة تستغل وثائق "товарно-транспортная накладная" (TTN)، وهي نوع من نماذج نقل البضائع بالغة الأهمية للعمليات اللوجستية داخل روسيا.

كيف تتكشف تفاصيل الهجوم: استخدام الطعوم المسلحة ونشر البرامج الضارة

تبدأ سلسلة العدوى برسائل بريد إلكتروني احتيالية تحتوي على محتوى زائف يتعلق بتسليم البضائع. تتضمن هذه الرسائل أرشيفات ZIP تحتوي على ملف اختصار Windows (LNK). عند تشغيله، يستخدم ملف LNK PowerShell لتشغيل مستند Microsoft Excel وهمي، مع تثبيت ملف DLL الخلفي EAGLET في نفس الوقت على النظام المُخترق.

تشير الوثيقة الوهمية إلى شركة Obltransterminal، وهي شركة تشغيل محطة حاويات للسكك الحديدية الروسية التي فرض عليها مكتب مراقبة الأصول الأجنبية التابع لوزارة الخزانة الأمريكية عقوبات في فبراير 2024 - وهي الخطوة التي من المرجح أن تهدف إلى إضافة المصداقية والإلحاح إلى الإغراء.

داخل EAGLET: القدرات والاتصالات C2

الباب الخلفي EAGLET هو غرسة خفية مصممة لجمع المعلومات الاستخبارية والوصول المستمر. تشمل إمكانياته:

• جمع معلومات النظام
• الاتصال بخادم C2 المبرمج على عنوان IP 185.225.17.104
• تحليل استجابات HTTP لاسترداد الأوامر للتنفيذ

يتميز هذا الزرع بإمكانية الوصول التفاعلي إلى الغلاف الخارجي، ويدعم عمليات تحميل وتنزيل الملفات. ومع ذلك، نظرًا لحالة عدم اتصال خادم القيادة والتحكم (C2) الحالية، لم يتمكن المحللون من تحديد النطاق الكامل للحمولات المحتملة للمرحلة التالية.

العلاقات مع جهات تهديد أخرى: EAGLET و Head Mare

تشير الأدلة إلى أن مجموعة UNG0901 لا تعمل بمعزل عن غيرها. فقد لوحظت حملات مماثلة تستخدم EAGLET وتستهدف كيانات إضافية في القطاع العسكري الروسي. تكشف هذه العمليات عن صلات بمجموعة تهديد أخرى تُعرف باسم Head Mare، والتي تم تحديدها لتركيزها على المنظمات الروسية.

وتشمل المؤشرات الرئيسية للتداخل ما يلي:

• أوجه التشابه في الكود المصدر بين مجموعات أدوات EAGLET و Head Mare
• اتفاقيات التسمية المشتركة في مرفقات التصيد الاحتيالي

أوجه التشابه الوظيفية بين EAGLET وPhantomDL، وهو باب خلفي قائم على Go معروف بقدراته على نقل الملفات والقشرة

النقاط الرئيسية: علامات التحذير والتهديدات المستمرة

تُسلّط هذه الحملة الضوء على تزايد دقة عمليات التصيد الاحتيالي المُوجّه، وخاصةً تلك التي تستخدم أدوات إغراء خاصة بمجالات محددة، مثل مستندات TTN. يُظهر استخدام الكيانات المُعاقبة في ملفات وهمية، إلى جانب برامج خبيثة مُخصصة مثل EAGLET، اتجاهًا مُتناميًا في حملات التجسس المُستهدفة بدقة، والتي تستهدف البنى التحتية الحيوية.

مؤشرات الاختراق والعلامات الحمراء التي يجب مراقبتها:

• رسائل البريد الإلكتروني التي تشير إلى مستندات الشحن أو التسليم من الكيانات الروسية الخاضعة للعقوبات.
• مرفقات ZIP مشبوهة تحتوي على ملفات LNK تنفذ أوامر PowerShell.
• اتصالات خارجية إلى عناوين IP غير مألوفة.

يتعين على متخصصي الأمن السيبراني أن يظلوا متيقظين للتكتيكات المتطورة للجهات الفاعلة في مجال التهديد مثل UNG0901، خاصة وأنها تستهدف القطاعات الحساسة بزراعات البرامج الضارة المخصصة ومجموعات الأدوات المتداخلة.