הצעת הנחה מרובה רישיונות
מסד נתונים של איומים תוכנה זדונית תוכנה זדונית אחורית של EAGLET

תוכנה זדונית אחורית של EAGLET

עד Mezo ב-תוכנה זדונית, דלתות אחוריות
לתרגם ל:

ריגול קיברנטי ממשיך להתפתח, כאשר גורמי איום הקשורים למדינה משתמשים בטקטיקות הטעיה הולכות וגדלות. אחת התקריות האחרונות כוללת קמפיין מורכב שמטרתו לפגוע במגזרי התעופה והחלל והביטחון של רוסיה, תוך שימוש בדלת אחורית מותאמת אישית בשם EAGLET לצורך מעקב סמוי וגניבת נתונים.

מטרה זוהתה: מטוסי תעופה רוסיים תחת מצור

הקמפיין, המכונה מבצע CargoTalon, יוחס לאשכול איומים שכותרתו UNG0901 (קבוצה לא ידועה 901). קבוצה זו שמה את מבטה אל איגוד ייצור המטוסים וורונז' (VASO), גוף ייצור מטוסים רוסי גדול. התוקפים משתמשים בטקטיקות של "פישינג" (spear-phishing) המנצלות מסמכי 'товарно-транспортная накладная' (TTN), סוג של שיטת הובלת מטענים קריטית לפעילות לוגיסטית בתוך רוסיה.

כיצד מתפתחת ההתקפה: פיתיונות חמושים ופריסת תוכנות זדוניות

שרשרת ההדבקה מתחילה בהודעות דוא"ל מסוג "פישינג" המכילות תוכן בנושא משלוחי מטען מזויפים. הודעות אלו כוללות ארכיוני ZIP המכילים קובץ קיצור דרך של Windows (LNK). כאשר קובץ ה-LNK מופעל, הוא משתמש ב-PowerShell כדי להפעיל מסמך Microsoft Excel מטעה, ובמקביל להתקין את דלת ה-DLL האחורית של EAGLET על המערכת הפגועה.

מסמך הפיתיון מתייחס ל-Obltransterminal, מפעילת מסוף מכולות רכבת רוסי שקיבלה סנקציות על ידי משרד בקרת נכסים זרים (OFAC) של משרד האוצר האמריקאי בפברואר 2024 - צעד שנועד ככל הנראה להוסיף אמינות ודחיפות לפיתוי.

בתוך EAGLET: יכולות ותקשורת C2

דלת אחורית EAGLET היא שתל חשאי שנועד לאיסוף מודיעין ולגישה מתמשכת. יכולותיה כוללות:

  • איסוף מידע על המערכת
  • התחברות לשרת C2 קשיח בכתובת IP 185.225.17.104
  • ניתוח תגובות HTTP כדי לאחזר פקודות לביצוע

השתל כולל גישה אינטראקטיבית למעטפת ותומך בפעולות העלאה/הורדה של קבצים. עם זאת, עקב המצב הנוכחי של שרת הפיקוד והבקרה (C2) במצב לא מקוון, אנליסטים לא הצליחו לקבוע את מלוא היקף המטענים האפשריים בשלב הבא.

קשרים לגורמי איום אחרים: EAGLET ו-Head Mare

ראיות מצביעות על כך ש-UNG0901 אינו פועל בבידוד. קמפיינים דומים שבהם נפרסו טכנולוגיית EAGLET נצפו כנגד גופים נוספים במגזר הצבאי של רוסיה. פעולות אלו חושפות קשרים לקבוצת איום נוספת המכונה Head Mare, שזוהה בזכות התמקדותה בארגונים רוסיים.

אינדיקטורים עיקריים לחפיפה כוללים:

  • קווי דמיון בקוד המקור בין ערכות הכלים EAGLET ו-Head Mare
  • מוסכמות מתן שמות משותפות בקבצים מצורפים של פישינג

דמיון פונקציונלי בין EAGLET ל-PhantomDL, דלת אחורית מבוססת Go הידועה ביכולות המעטפת והעברת הקבצים שלה.

נקודות מפתח: סימני אזהרה ואיומים מתמשכים

קמפיין זה מדגיש את הדיוק הגובר של פעולות "פישינג ספיר", במיוחד אלו המשתמשות בפיתיונות ספציפיים לתחום כגון מסמכי TTN. השימוש בישויות מועצמות בקבצי פיתיון, בשילוב עם תוכנות זדוניות מותאמות אישית כמו EAGLET, ממחיש מגמה הולכת וגוברת של קמפיינים ריגוליים ממוקדים ביותר המכוונים לתשתיות קריטיות.

אינדיקטורים לפשרה ודגלים אדומים שכדאי לשים לב אליהם:

  • אימיילים המתייחסים למטענים או למסמכי משלוח מישויות רוסיות שהוטלו עליהן סנקציות.
  • קבצי ZIP חשודים המכילים קבצי LNK המבצעים פקודות PowerShell.
  • חיבורים יוצאים לכתובות IP לא מוכרות.

אנשי מקצוע בתחום אבטחת הסייבר צריכים להישאר ערניים לטקטיקות המתפתחות של גורמי איום כמו UNG0901, במיוחד כשהם מכוונים למגזרים רגישים באמצעות שתלי תוכנות זדוניות מותאמות אישית וערכות כלים חופפות.

מגמות

הכי נצפה

תוכנה זדונית

פישינג, ספאם
35,934
הודעת ההונאה 'Apple Pay Suspended' היא סוג של טקטיקת פישינג המכוונת למשתמשים של Apple Pay. ההודעה טוענת כי ארנק Apple Pay של המשתמש הושעה וקוראת לו ללחוץ על קישור כדי לשחזר אותו. עם זאת, לחיצה על הקישור תוביל את המשתמש לאתר מזויף שנועד לגנוב את המידע האישי והפיננסי שלו. אם משתמש נופל קורבן לתוכנית זו, ההשלכות עלולות להיות חמורות, כולל הפסדים כספיים וגניבת זהות. חיוני לדעת לזהות ולהימנע...
טוען...