EAGLET Backdoor Malware

साइबर जासूसी लगातार विकसित हो रही है, और सरकार से जुड़े ख़तरा पैदा करने वाले तत्व लगातार भ्रामक हथकंडे अपना रहे हैं। हाल ही में हुई एक घटना में रूस के एयरोस्पेस और रक्षा क्षेत्रों को खतरे में डालने के उद्देश्य से एक व्यापक अभियान चलाया जा रहा है, जिसमें गुप्त निगरानी और डेटा चोरी के लिए EAGLET नामक एक कस्टम बैकडोर का इस्तेमाल किया जा रहा है।

लक्ष्य की पहचान: रूसी एयरोस्पेस पर घेराबंदी

ऑपरेशन कार्गोटैलोन नामक इस अभियान को UNG0901 (अज्ञात समूह 901) नामक एक ख़तरा समूह से जोड़ा गया है। इस समूह ने रूस की एक प्रमुख विमान निर्माण कंपनी, वोरोनिश एयरक्राफ्ट प्रोडक्शन एसोसिएशन (VASO) पर अपनी नज़रें गड़ा दी हैं। हमलावर स्पीयर-फ़िशिंग रणनीति अपनाते हैं जिसके तहत 'टोवरनो-ट्रान्सपोर्टनाया नाक्लादनाया' (TTN) दस्तावेज़ों का इस्तेमाल किया जाता है, जो रूस के भीतर रसद संचालन के लिए महत्वपूर्ण एक प्रकार का कार्गो परिवहन रूप है।

हमला कैसे होता है: हथियारबंद प्रलोभन और मैलवेयर तैनाती

संक्रमण श्रृंखला स्पीयर-फ़िशिंग ईमेल से शुरू होती है जिनमें नकली कार्गो डिलीवरी-थीम वाली सामग्री होती है। इन संदेशों में एक विंडोज़ शॉर्टकट (LNK) फ़ाइल रखने वाले ज़िप संग्रह शामिल होते हैं। निष्पादित होने पर, LNK फ़ाइल एक फ़र्ज़ी Microsoft Excel दस्तावेज़ लॉन्च करने के लिए PowerShell का उपयोग करती है और साथ ही साथ संक्रमित सिस्टम पर EAGLET DLL बैकडोर स्थापित करती है।

फर्जी दस्तावेज में ओब्लट्रांसटर्मिनल का उल्लेख है, जो एक रूसी रेलवे कंटेनर टर्मिनल ऑपरेटर है, जिसे फरवरी 2024 में अमेरिकी ट्रेजरी के विदेशी संपत्ति नियंत्रण कार्यालय (ओएफएसी) द्वारा प्रतिबंधित किया गया है - यह कदम संभवतः लालच में विश्वसनीयता और तात्कालिकता जोड़ने के उद्देश्य से किया गया है।

ईगलेट के अंदर: क्षमताएं और सी2 संचार

ईगलेट बैकडोर एक गुप्त इम्प्लांट है जिसे खुफिया जानकारी इकट्ठा करने और लगातार पहुँच के लिए डिज़ाइन किया गया है। इसकी क्षमताएँ इस प्रकार हैं:

• सिस्टम जानकारी एकत्र करना
• IP पते 185.225.17.104 पर हार्डकोडेड C2 सर्वर से कनेक्ट करना
• निष्पादन के लिए आदेशों को पुनः प्राप्त करने के लिए HTTP प्रतिक्रियाओं को पार्स करना

इम्प्लांट में इंटरैक्टिव शेल एक्सेस की सुविधा है और यह फ़ाइल अपलोड/डाउनलोड संचालन का समर्थन करता है। हालाँकि, कमांड-एंड-कंट्रोल (C2) सर्वर की वर्तमान ऑफ़लाइन स्थिति के कारण, विश्लेषक अगले चरण के संभावित पेलोड की पूरी सीमा का निर्धारण नहीं कर पाए हैं।

अन्य ख़तरा पैदा करने वाले तत्वों से संबंध: ईगलेट और हेड मारे

सबूत बताते हैं कि UNG0901 अकेले काम नहीं कर रहा है। रूस के सैन्य क्षेत्र में अन्य संस्थाओं को निशाना बनाकर EAGLET तैनात करने वाले इसी तरह के अभियान देखे गए हैं। इन अभियानों से हेड मारे नामक एक अन्य ख़तरा समूह से संबंध का पता चलता है, जो रूसी संगठनों पर अपना ध्यान केंद्रित करने के लिए जाना जाता है।

ओवरलैप के प्रमुख संकेतकों में शामिल हैं:

• EAGLET और हेड मारे टूलसेट के बीच स्रोत कोड समानताएं
• फ़िशिंग अनुलग्नकों में साझा नामकरण परंपराएँ

EAGLET और PhantomDL के बीच कार्यात्मक समानताएं, एक Go-आधारित बैकडोर जो अपनी शेल और फ़ाइल-स्थानांतरण क्षमताओं के लिए जाना जाता है

मुख्य बातें: चेतावनी संकेत और लगातार खतरे

यह अभियान स्पीयर-फ़िशिंग अभियानों की बढ़ती सटीकता को उजागर करता है, खासकर उन अभियानों में जो TTN दस्तावेज़ों जैसे डोमेन-विशिष्ट प्रलोभनों का उपयोग करते हैं। फर्जी फाइलों में प्रतिबंधित संस्थाओं का उपयोग, EAGLET जैसे कस्टम मैलवेयर के साथ मिलकर, महत्वपूर्ण बुनियादी ढाँचे पर लक्षित अत्यधिक लक्षित जासूसी अभियानों के बढ़ते चलन को दर्शाता है।

समझौता के संकेतक और ध्यान देने योग्य लाल झंडे:

• प्रतिबंधित रूसी संस्थाओं से कार्गो या डिलीवरी दस्तावेजों का संदर्भ देने वाले ईमेल।
• संदिग्ध ZIP अनुलग्नक जिनमें LNK फ़ाइलें होती हैं जो PowerShell कमांड निष्पादित करती हैं।
• अपरिचित आईपी से आउटबाउंड कनेक्शन।

साइबर सुरक्षा पेशेवरों को UNG0901 जैसे खतरनाक तत्वों की उभरती रणनीति के प्रति सतर्क रहना चाहिए, विशेष रूप से तब जब वे संवेदनशील क्षेत्रों को अनुकूलित मैलवेयर प्रत्यारोपण और ओवरलैपिंग टूलकिट के साथ लक्षित करते हैं।