Malware backdoorů EAGLET
Kyberšpionáž se neustále vyvíjí a státní hrozby používají stále více klamných taktik. Jeden z nejnovějších incidentů zahrnuje propracovanou kampaň zaměřenou na kompromitování ruského leteckého a obranného sektoru, která využívá speciální zadní vrátka s názvem EAGLET pro skryté sledování a krádež dat.
Obsah
Identifikovaný cíl: Ruský letecký a kosmický průmysl v obležení
Kampaň známá jako Operace CargoTalon byla připsána skupině hrozeb s označením UNG0901 (Neznámá skupina 901). Tato skupina si zaměřila pozornost na Voroněžskou leteckou výrobní asociaci (VASO), významný ruský subjekt vyrábějící letadla. Útočníci používají phishingové taktiky, které zneužívají dokumenty „товарно-транспортная накладная“ (TTN), což je typ přepravního formuláře pro náklad, který je zásadní pro logistické operace v Rusku.
Jak se útok odvíjí: Zbraněné návnady a nasazení malwaru
Řetězec infekce začíná phishingovými e-maily s falešným obsahem na téma doručování nákladu. Tyto zprávy obsahují ZIP archivy obsahující soubor zástupce systému Windows (LNK). Po spuštění soubor LNK použije PowerShell ke spuštění klamného dokumentu Microsoft Excel a současně nainstaluje backdoor knihovny EAGLET DLL do napadeného systému.
V dokumentu se zmiňuje společnost Obltransterminal, ruského provozovatele železničního kontejnerového terminálu, na kterého v únoru 2024 uvalil sankce Úřad pro kontrolu zahraničních aktiv (OFAC) amerického ministerstva financí – což byl krok, který měl pravděpodobně dodat návnadě důvěryhodnost a naléhavost.
Uvnitř EAGLET: Schopnosti a komunikace C2
Zadní vrátka EAGLET jsou nenápadné zařízení určené pro shromažďování informací a trvalý přístup. Mezi jejich schopnosti patří:
- Shromažďování systémových informací
- Připojení k pevně zakódovanému serveru C2 na IP adrese 185.225.17.104
- Analýza HTTP odpovědí za účelem načtení příkazů ke spuštění
Implantát nabízí interaktivní přístup k shellu a podporuje operace nahrávání/stahování souborů. Vzhledem k současnému offline stavu serveru Command-and-Control (C2) však analytici nebyli schopni určit úplný rozsah možných užitečných zatížení další fáze.
Vazby na další aktéry hrozby: EAGLET a Head Mare
Důkazy naznačují, že UNG0901 nepůsobí izolovaně. Podobné kampaně s nasazením jednotky EAGLET byly pozorovány i u dalších subjektů v ruském vojenském sektoru. Tyto operace odhalují spojení s jinou hrozbou známou jako Head Mare, která je známá pro své zaměření na ruské organizace.
Mezi klíčové ukazatele překrývání patří:
- Podobnosti zdrojového kódu mezi sadami nástrojů EAGLET a Head Mare
- Sdílené konvence pojmenování v phishingových přílohách
Funkční podobnosti mezi EAGLET a PhantomDL, backdoorem založeným na Go, známým pro své schopnosti shellu a přenosu souborů
Klíčové poznatky: Varovné signály a přetrvávající hrozby
Tato kampaň zdůrazňuje rostoucí přesnost spear phishingových operací, zejména těch, které využívají návnady specifické pro danou doménu, jako jsou dokumenty TTN. Použití schválených entit v návnadových souborech v kombinaci s vlastním malwarem, jako je EAGLET, ilustruje rostoucí trend vysoce cílených špionážních kampaní zaměřených na kritickou infrastrukturu.
Ukazatele kompromisu a varovné signály, na které si dát pozor:
- E-maily odkazující na náklad nebo dodací dokumenty od sankcionovaných ruských subjektů.
- Podezřelé přílohy ZIP obsahující soubory LNK, které spouštějí příkazy PowerShellu.
- Odchozí připojení k neznámým IP adresám.
Odborníci na kybernetickou bezpečnost by si měli být vědomi vyvíjejících se taktik hrozeb, jako je UNG0901, zejména proto, že se zaměřují na citlivá odvětví pomocí přizpůsobených malwarových implantátů a překrývajících se sad nástrojů.
