EAGLET užpakalinių durų kenkėjiška programa
Kibernetinis šnipinėjimas toliau vystosi, o su valstybėmis susiję grėsmės subjektai naudoja vis labiau apgaulingą taktiką. Vienas iš naujausių incidentų susijęs su sudėtinga kampanija, kuria siekiama pakenkti Rusijos aviacijos ir kosmoso bei gynybos sektoriams, naudojant specialiai sukurtą galinį langą, pavadintą EAGLET, slaptam stebėjimui ir duomenų vagystei.
Turinys
Nustatytas taikinys: apgulta Rusijos aviacija ir kosmoso pajėgos
Kampanija, žinoma kaip „Operacija „CargoTalon“, buvo priskirta grėsmių grupei, pažymėtai UNG0901 (Nežinoma 901 grupė). Ši grupuotė nusitaikė į Voronežo orlaivių gamybos asociaciją (VASO) – didelę Rusijos orlaivių gamybos įmonę. Užpuolikai naudoja spear-phishing taktiką, išnaudodami „товарно-транспортная накладная“ (TTN) dokumentus – krovinių gabenimo formą, kuri yra labai svarbi logistikos operacijoms Rusijoje.
Kaip vyksta ataka: ginkluoti masalai ir kenkėjiškų programų diegimas
Užkrėtimo grandinė prasideda sukčiavimo el. laiškais, kuriuose yra netikro turinio, susijusio su krovinių pristatymu. Šiuose laiškuose yra ZIP archyvai, kuriuose yra „Windows“ sparčiųjų klavišų (LNK) failas. Paleidus LNK failą, jis naudoja „PowerShell“, kad paleistų apgaulingą „Microsoft Excel“ dokumentą ir tuo pačiu metu įdiegtų EAGLET DLL galines duris užkrėstoje sistemoje.
Masalo dokumente minima „Obltransterminal“ – Rusijos geležinkelių konteinerių terminalo operatorė, kuriai 2024 m. vasarį sankcionavo JAV iždo Užsienio turto kontrolės tarnyba (OFAC) – šiuo žingsniu greičiausiai siekiama padidinti masalo patikimumą ir skubumą.
EAGLET viduje: Galimybės ir C2 komunikacija
„EAGLET“ galinės durys yra slaptas implantas, skirtas žvalgybai ir nuolatinei prieigai. Jo galimybės apima:
- Sistemos informacijos rinkimas
- Prisijungiama prie užkoduoto C2 serverio, kurio IP adresas yra 185.225.17.104
- HTTP atsakymų analizavimas, siekiant gauti komandas vykdymui
Implantas turi interaktyvią prieigą prie apvalkalo ir palaiko failų įkėlimo / atsisiuntimo operacijas. Tačiau dėl dabartinės „Command-and-Control“ (C2) serverio neprisijungusio ryšio būsenos analitikai negalėjo nustatyti viso galimo kito etapo naudingosios apkrovos apimties.
Ryšiai su kitais grėsmės veikėjais: EAGLET ir Head Mare
Įrodymai rodo, kad UNG0901 neveikia izoliuotai. Pastebėta, kad panašios kampanijos, kuriose naudojama EAGLET sistema, yra nukreiptos į kitus Rusijos karinio sektoriaus subjektus. Šios operacijos atskleidžia ryšius su kita grėsmių grupe, žinoma kaip „Head Mare“, kuri nustatyta dėl savo dėmesio Rusijos organizacijoms.
Pagrindiniai persidengimo rodikliai:
- EAGLET ir „Head Mare“ įrankių rinkinių šaltinio kodo panašumai
- Bendros pavadinimų konvencijos sukčiavimo prieduose
Funkciniai EAGLET ir PhantomDL, „Go“ pagrindu sukurtos galinės durys, žinomos dėl savo apvalkalo ir failų perdavimo galimybių, panašumai
Svarbiausios išvados: įspėjamieji ženklai ir nuolatinės grėsmės
Ši kampanija pabrėžia didėjantį tikslinių sukčiavimo operacijų tikslumą, ypač tų, kurios naudoja konkrečioms sritims skirtus masalus, tokius kaip TTN dokumentai. Sankcionuotų subjektų naudojimas masalų failuose kartu su pritaikyta kenkėjiška programine įranga, pvz., EAGLET, iliustruoja augančią tendenciją, kai šnipinėjimo kampanijos nukreiptos į ypatingos svarbos infrastruktūrą.
Kompromiso požymiai ir įspėjamieji ženklai, į kuriuos reikia atkreipti dėmesį:
- El. laiškai, kuriuose nurodomi kroviniai ar pristatymo dokumentai iš sankcionuotų Rusijos subjektų.
- Įtartini ZIP priedai su LNK failais, kurie vykdo „PowerShell“ komandas.
- Išeinantys ryšiai su nepažįstamais IP adresais.
Kibernetinio saugumo specialistai turėtų būti budrūs dėl besikeičiančios grėsmių skleidėjų, tokių kaip UNG0901, taktikos, ypač kai jie taikosi į jautrius sektorius, naudodami pritaikytus kenkėjiškų programų implantus ir persidengiančius įrankių rinkinius.
