EAGLET aizmugures durvju ļaunprogrammatūra
Kiberizlūkošana turpina attīstīties, un ar valstīm saistīti apdraudējumu veidotāji izmanto arvien maldinošāku taktiku. Viens no jaunākajiem incidentiem ir saistīts ar sarežģītu kampaņu, kuras mērķis ir apdraudēt Krievijas kosmosa un aizsardzības nozares, izmantojot pielāgotu aizmugurējo durvju sistēmu ar nosaukumu EAGLET slepenai novērošanai un datu zādzībai.
Satura rādītājs
Identificēts mērķis: Krievijas aviācijas un kosmosa aplenkums
Kampaņa, kas pazīstama kā operācija CargoTalon, ir saistīta ar draudu klasteri UNG0901 (Nezināma grupa 901). Šī grupa ir novērsusi savu uzmanību uz Voroņežas lidmašīnu ražošanas asociāciju (VASO), kas ir nozīmīgs Krievijas lidmašīnu ražošanas uzņēmums. Uzbrucēji izmanto pikšķerēšanas taktiku, kas izmanto “товарно-транспортная накладная” (TTN) dokumentus, kas ir kravu pārvadāšanas veids, kas ir kritiski svarīgs loģistikas operācijām Krievijā.
Kā notiek uzbrukums: ieroči un ļaunprogrammatūras izvietošana
Infekcijas ķēde sākas ar mērķtiecīgiem pikšķerēšanas e-pastiem, kas satur viltotu kravu piegādes tematikas saturu. Šie ziņojumi ietver ZIP arhīvus, kuros atrodas Windows saīsnes (LNK) fails. Izpildot, LNK fails izmanto PowerShell, lai palaistu mānošu Microsoft Excel dokumentu, vienlaikus instalējot EAGLET DLL aizmugurējo durvju failu apdraudētajā sistēmā.
Mānošajā dokumentā ir atsauce uz Obltransterminal, Krievijas dzelzceļa konteineru termināļa operatoru, kuram 2024. gada februārī noteica sankcijas ASV Valsts kases Ārvalstu aktīvu kontroles birojs (OFAC), un šis solis, visticamāk, ir paredzēts, lai palielinātu ēsmas ticamību un steidzamību.
EAGLET iekšienē: Spējas un C2 komunikācija
EAGLET aizmugurējās durvis ir nemanāms implants, kas paredzēts informācijas vākšanai un pastāvīgai piekļuvei. Tās iespējas ietver:
- Sistēmas informācijas apkopošana
- Izveido savienojumu ar cietkodētu C2 serveri IP adresē 185.225.17.104
- HTTP atbilžu parsēšana, lai izgūtu izpildei paredzētas komandas
Implantam ir interaktīva piekļuve apvalkam un tas atbalsta failu augšupielādes/lejupielādes darbības. Tomēr, ņemot vērā pašreizējo vadības un kontroles (C2) servera bezsaistes statusu, analītiķi nav spējuši noteikt visu iespējamo nākamā posma vērtumu apjomu.
Saikne ar citiem draudu dalībniekiem: EAGLET un Head Mare
Pierādījumi liecina, ka UNG0901 nedarbojas izolēti. Ir novērotas līdzīgas kampaņas, kurās tiek izmantota EAGLET sistēma, un kuru mērķis ir arī citas Krievijas militārā sektora vienības. Šīs operācijas atklāj saistību ar citu draudu grupu, kas pazīstama kā Head Mare, un kas identificēta, pateicoties tās uzmanības centrā esošajām Krievijas organizācijām.
Galvenie pārklāšanās rādītāji ir šādi:
- EAGLET un Head Mare rīku komplektu pirmkoda līdzības
- Koplietotas nosaukumu konvencijas pikšķerēšanas pielikumos
Funkcionālas līdzības starp EAGLET un PhantomDL, Go balstītu aizmugurējo durvju sistēmu, kas pazīstama ar savu apvalku un failu pārsūtīšanas iespējām
Galvenie secinājumi: brīdinājuma zīmes un pastāvīgi draudi
Šī kampaņa izceļ mērķtiecīgas pikšķerēšanas operāciju pieaugošo precizitāti, īpaši to, kurās tiek izmantoti konkrētai domēnai paredzēti ēsmas rīki, piemēram, TTN dokumenti. Sankcionētu vienību izmantošana mānekļu failos apvienojumā ar pielāgotu ļaunprogrammatūru, piemēram, EAGLET, ilustrē pieaugošu tendenci veikt ļoti mērķtiecīgas spiegošanas kampaņas, kas vērstas pret kritisko infrastruktūru.
Kompromisa pazīmes un brīdinājuma signāli, kam pievērst uzmanību:
- E-pasti ar atsaucēm uz kravām vai piegādes dokumentiem no sankcionētām Krievijas struktūrām.
- Aizdomīgi ZIP pielikumi, kas satur LNK failus, kuri izpilda PowerShell komandas.
- Izejošie savienojumi ar nepazīstamām IP adresēm.
Kiberdrošības speciālistiem jābūt modriem attiecībā uz tādu apdraudējumu dalībnieku kā UNG0901 mainīgo taktiku, jo īpaši tāpēc, ka tie uzbrūk jutīgām nozarēm, izmantojot pielāgotus ļaunprogrammatūras implantus un pārklājošus rīkus.
