EAGLET hátsó ajtó kártevő
A kiberkémkedés folyamatosan fejlődik, az államilag kötött fenyegetésekért felelős szereplők egyre megtévesztőbb taktikákat alkalmaznak. Az egyik legújabb incidens egy bonyolult kampányhoz kapcsolódik, amelynek célja az orosz repülőgépipari és védelmi ágazat kompromittálása, egy EAGLET nevű egyedi hátsó ajtó használatával titkos megfigyelésre és adatlopásra.
Tartalomjegyzék
Azonosított célpont: ostrom alatt álló orosz repülőgépipari vállalat
A CargoTalon hadműveletként ismert kampányt az UNG0901 (Ismeretlen 901-es csoport) jelzésű fenyegetéscsoporthoz kötik. Ez a csoport a Voronyezsi Repülőgépgyártó Szövetséget (VASO), egy jelentős orosz repülőgépgyártó vállalatot vette célba. A támadók adathalász taktikákat alkalmaznak, amelyek a „товарно-транспортная накладная” (TTN) dokumentumokat használják ki, amelyek az oroszországi logisztikai műveletek szempontjából kritikus fontosságú áruszállítási forma.
A támadás kibontakozása: Fegyveres csalik és rosszindulatú programok telepítése
A fertőzési lánc hamis, rakománykézbesítéssel kapcsolatos tartalmakat tartalmazó adathalász e-mailekkel kezdődik. Ezek az üzenetek ZIP archívumokat tartalmaznak, amelyek egy Windows parancsikont (LNK) tartalmazó fájlt tartalmaznak. Futáskor az LNK fájl a PowerShell segítségével indít el egy álcaként szolgáló Microsoft Excel dokumentumot, miközben egyidejűleg telepíti az EAGLET DLL hátsó ajtót a feltört rendszerre.
A csapdába ejtő dokumentum az Obltransterminalra hivatkozik, egy orosz vasúti konténerterminál-üzemeltetőre, amelyet az Egyesült Államok Pénzügyminisztériumának Külföldi Vagyonokat Ellenőrző Hivatala (OFAC) 2024 februárjában szankcionált – ez a lépés valószínűleg a csali hitelességének és sürgősségének növelése érdekében történt.
Az EAGLET világában: Képességek és C2 kommunikáció
Az EAGLET hátsó ajtó egy lopakodó implantátum, amelyet hírszerzésre és folyamatos hozzáférésre terveztek. Képességei többek között:
- Rendszerinformációk gyűjtése
- Kapcsolódás egy fixen kódolt C2 szerverhez a 185.225.17.104 IP-címen
- HTTP válaszok elemzése a végrehajtásra szánt parancsok lekéréséhez
Az implantátum interaktív shell hozzáférést biztosít, és támogatja a fájlfeltöltési/letöltési műveleteket. A Command-and-Control (C2) szerver jelenlegi offline állapota miatt azonban az elemzők nem tudták meghatározni a lehetséges következő fázisú hasznos terhek teljes körét.
Kapcsolatok más fenyegető szereplőkkel: EAGLET és Head Mare
A bizonyítékok arra utalnak, hogy az UNG0901 nem elszigetelten működik. Hasonló, az EAGLET-et bevető kampányokat figyeltek meg, amelyek további szervezeteket céloztak meg az orosz katonai szektorban. Ezek a műveletek egy másik fenyegető csoporttal, a Head Mare-val való kapcsolatokat tártak fel, amelyet az orosz szervezetekre való összpontosítása miatt azonosítottak.
Az átfedés főbb mutatói a következők:
- Forráskód hasonlóságok az EAGLET és a Head Mare eszközkészletek között
- Megosztott elnevezési konvenciók az adathalász mellékletekben
Funkcionális hasonlóságok az EAGLET és a PhantomDL, egy Go-alapú hátsó ajtó között, amely shelljéről és fájlátviteli képességeiről ismert.
Főbb tanulságok: Figyelmeztető jelek és állandó veszélyek
Ez a kampány rávilágít a célzott adathalász műveletek növekvő pontosságára, különösen azokra, amelyek domain-specifikus csalikat, például TTN-dokumentumokat használnak. A szankcionált entitások használata a csalifájlokban, az olyan egyedi rosszindulatú programokkal kombinálva, mint az EAGLET, a kritikus infrastruktúrára irányuló, célzott kémkedési kampányok növekvő trendjét szemlélteti.
Kompromisszumra utaló jelek és vészjelzések, amelyekre figyelni kell:
- Szankcionált orosz szervezetektől származó rakományra vagy szállítási dokumentumokra hivatkozó e-mailek.
- Gyanús ZIP-mellékletek, amelyek PowerShell-parancsokat végrehajtó LNK fájlokat tartalmaznak.
- Kimenő kapcsolatok ismeretlen IP-címekre.
A kiberbiztonsági szakembereknek továbbra is résen kell lenniük az olyan fenyegető szereplők, mint az UNG0901, folyamatosan változó taktikájával kapcsolatban, különösen mivel azok érzékeny szektorokat céloznak meg testreszabott rosszindulatú programokkal és átfedő eszközkészletekkel.
