EAGLET Stražnji door Zlonamjerni softver
Kibernetička špijunaža se i dalje razvija, a akteri prijetnji povezani s državom koriste sve više obmanjujućih taktika. Jedan od najnovijih incidenata uključuje razrađenu kampanju usmjerenu na kompromitiranje ruskog zrakoplovnog i obrambenog sektora, koristeći prilagođeni stražnji ulaz pod nazivom EAGLET za tajni nadzor i krađu podataka.
Sadržaj
Identificiran cilj: Ruski zrakoplovni sustav pod opsadom
Kampanja, poznata kao Operacija CargoTalon, pripisana je skupini prijetnji označenoj kao UNG0901 (Nepoznata grupa 901). Ova je grupa usmjerila pogled na Voronješko udruženje za proizvodnju zrakoplova (VASO), glavnog ruskog proizvođača zrakoplova. Napadači koriste taktike krađe identiteta putem spear-phishinga koje iskorištavaju dokumente 'tovarno-transportnaya nakladnaya' (TTN), vrstu obrasca za prijevoz tereta ključnu za logističke operacije unutar Rusije.
Kako se napad odvija: Mamci u obliku oružja i postavljanje zlonamjernog softvera
Lanac zaraze započinje spear-phishing e-porukama koje sadrže lažni sadržaj na temu dostave tereta. Ove poruke uključuju ZIP arhive koje sadrže datoteku prečaca za Windows (LNK). Kada se izvrši, LNK datoteka koristi PowerShell za pokretanje lažnog Microsoft Excel dokumenta, a istovremeno instalira EAGLET DLL backdoor na kompromitirani sustav.
U dokumentu za mamac spominje se Obltransterminal, ruski operater željezničkog kontejnerskog terminala kojeg je u veljači 2024. sankcionirao Ured za kontrolu strane imovine (OFAC) američkog Ministarstva financija - potez koji je vjerojatno imao za cilj dodati kredibilitet i hitnost mamcu.
Unutar EAGLET-a: Sposobnosti i C2 komunikacija
Stražnja vrata EAGLET-a su prikriveni implantat dizajniran za prikupljanje obavještajnih podataka i trajan pristup. Njegove mogućnosti uključuju:
- Prikupljanje informacija o sustavu
- Spajanje na C2 poslužitelj s fiksnim kodom na IP adresi 185.225.17.104
- Parsiranje HTTP odgovora za dohvaćanje naredbi za izvršavanje
Implantat ima interaktivni pristup ljusci i podržava operacije prijenosa/preuzimanja datoteka. Međutim, zbog trenutnog izvanmrežnog statusa Command-and-Control (C2) poslužitelja, analitičari nisu mogli odrediti puni opseg mogućih korisnih tereta sljedeće faze.
Veze s drugim prijetećim akterima: EAGLET i Head Mare
Dokazi upućuju na to da UNG0901 ne djeluje izolirano. Slične kampanje s EAGLET-om uočene su usmjerene na dodatne subjekte u ruskom vojnom sektoru. Ove operacije otkrivaju veze s drugom prijetećom skupinom poznatom kao Head Mare, identificiranom po svom fokusu na ruske organizacije.
Ključni pokazatelji preklapanja uključuju:
- Sličnosti izvornog koda između alata EAGLET i Head Mare
- Zajedničke konvencije imenovanja u prilozima za krađu identiteta
Funkcionalne sličnosti između EAGLET-a i PhantomDL-a, backdoora temeljenog na Go-u poznatog po svojim mogućnostima ljuske i prijenosa datoteka
Ključne informacije: Znakovi upozorenja i stalne prijetnje
Ova kampanja ističe sve veću preciznost operacija krađe identiteta putem interneta (spear-phishing), posebno onih koje koriste mamce specifične za domenu poput TTN dokumenata. Korištenje sankcioniranih entiteta u datotekama mamaca, u kombinaciji s prilagođenim zlonamjernim softverom poput EAGLET-a, ilustrira rastući trend visoko ciljanih špijunskih kampanja usmjerenih na kritičnu infrastrukturu.
Pokazatelji kompromisa i crvene zastavice na koje treba obratiti pozornost:
- E-poruke koje se odnose na teret ili dokumente o isporuci od sankcioniranih ruskih subjekata.
- Sumnjivi ZIP prilozi koji sadrže LNK datoteke koje izvršavaju PowerShell naredbe.
- Odlazne veze prema nepoznatim IP adresama.
Stručnjaci za kibernetičku sigurnost trebali bi biti svjesni razvojnih taktika prijetnji poput UNG0901, posebno jer ciljaju osjetljive sektore prilagođenim implantatima zlonamjernog softvera i preklapajućim setovima alata.
