EAGLET 백도어 맬웨어

사이버 스파이 활동은 계속 진화하고 있으며, 국가와 연계된 위협 행위자들은 점점 더 교묘한 전술을 사용하고 있습니다. 최근 사건 중 하나는 러시아의 항공우주 및 방위 산업을 침해하기 위한 정교한 캠페인으로, EAGLET이라는 맞춤형 백도어를 활용하여 은밀한 감시와 데이터 유출을 시도하는 것입니다.

확인된 목표: 포위된 러시아 항공우주

카고탈론 작전(Operation CargoTalon)으로 알려진 이 캠페인은 UNG0901(미확인 그룹 901)이라는 위협 집단의 소행으로 추정됩니다. 이 그룹은 러시아의 주요 항공기 제조 기업인 보로네시 항공기 생산 협회(VASO)를 표적으로 삼았습니다. 공격자들은 러시아 내 물류 운영에 필수적인 화물 운송 양식인 'товарно-транспортная накладная'(TTN) 문서를 악용하는 스피어피싱 전술을 사용합니다.

공격 전개 방식: 무기화된 미끼와 맬웨어 배포

감염 경로는 가짜 화물 배송 관련 콘텐츠가 포함된 스피어피싱 이메일로 시작됩니다. 이러한 메시지에는 Windows 바로 가기(LNK) 파일이 포함된 ZIP 압축 파일이 포함되어 있습니다. LNK 파일이 실행되면 PowerShell을 사용하여 악성 Microsoft Excel 문서를 실행하고, 동시에 감염된 시스템에 EAGLET DLL 백도어를 설치합니다.

미끼 문서에는 2024년 2월 미국 재무부 외국자산통제국(OFAC)의 제재를 받은 러시아 철도 컨테이너 터미널 운영사인 Obltransterminal이 언급되어 있는데, 이는 미끼에 신뢰성과 긴박감을 더하기 위한 의도일 가능성이 높습니다.

EAGLET 내부: 기능 및 C2 통신

EAGLET 백도어는 정보 수집 및 지속적인 접근을 위해 설계된 은밀한 임플란트입니다. 기능은 다음과 같습니다.

• 시스템 정보 수집
• IP 주소 185.225.17.104의 하드코딩된 C2 서버에 연결
• 실행할 명령을 검색하기 위한 HTTP 응답 구문 분석

이 임플란트는 대화형 셸 접근 기능을 갖추고 있으며 파일 업로드/다운로드 작업을 지원합니다. 그러나 현재 명령 및 제어(C2) 서버의 오프라인 상태로 인해 분석가들은 다음 단계 페이로드의 전체 범위를 파악하지 못했습니다.

다른 위협 행위자와의 관계: EAGLET 및 Head Mare

증거에 따르면 UNG0901은 고립된 상태로 활동하지 않는 것으로 보입니다. EAGLET을 활용한 유사한 작전이 러시아 군사 분야의 다른 조직들을 표적으로 삼는 것으로 관찰되었습니다. 이러한 작전은 러시아 조직을 집중적으로 공격하는 것으로 알려진 Head Mare라는 또 다른 위협 집단과 관련이 있는 것으로 드러납니다.

중복의 주요 지표는 다음과 같습니다.

• EAGLET과 Head Mare 툴셋 간의 소스 코드 유사성
• 피싱 첨부 파일의 공유 명명 규칙

셸 및 파일 전송 기능으로 알려진 Go 기반 백도어인 PhantomDL과 EAGLET의 기능적 유사점

주요 내용: 경고 신호 및 지속적인 위협

이 캠페인은 스피어 피싱 공격, 특히 TTN 문서와 같은 도메인별 미끼를 사용하는 공격의 정확도가 높아지고 있음을 보여줍니다. EAGLET과 같은 맞춤형 멀웨어와 함께, 승인된 기관을 미끼 파일에 사용하는 것은 중요 인프라를 겨냥한 고도로 표적화된 스파이 활동이 증가하고 있음을 보여줍니다.

침해의 징후와 주의해야 할 위험 신호:

• 제재된 러시아 기관의 화물이나 배송 문서를 참조하는 이메일.
• PowerShell 명령을 실행하는 LNK 파일이 포함된 의심스러운 ZIP 첨부 파일입니다.
• 익숙하지 않은 IP로의 아웃바운드 연결.

사이버 보안 전문가는 UNG0901과 같은 위협 행위자의 진화하는 전술에 항상 주의를 기울여야 합니다. 특히 이들은 맞춤형 맬웨어 임플란트와 중복되는 툴킷을 이용해 민감한 분야를 표적으로 삼고 있기 때문입니다.