EAGLET ब्याकडोर मालवेयर
साइबर जासुसीको विकास जारी छ, राज्यसँग सम्बन्धित खतरा अभिनेताहरूले बढ्दो रूपमा भ्रामक रणनीतिहरू प्रयोग गरिरहेका छन्। पछिल्लो घटनाहरू मध्ये एकमा रूसको एयरोस्पेस र रक्षा क्षेत्रहरूलाई सम्झौता गर्ने उद्देश्यले गरिएको विस्तृत अभियान समावेश छ, गोप्य निगरानी र डेटा चोरीको लागि EAGLET नामक कस्टम ब्याकडोर प्रयोग गर्दै।
सामग्रीको तालिका
लक्ष्य पहिचान गरियो: घेराबन्दीमा रूसी एयरोस्पेस
अपरेशन कार्गो ट्यालोन भनेर चिनिने यो अभियानलाई UNG0901 (अज्ञात समूह 901) लेबल गरिएको खतरा समूहलाई जिम्मेवार ठहराइएको छ। यो समूहले आफ्नो नजर भोरोनेज एयरक्राफ्ट प्रोडक्सन एसोसिएसन (VASO) मा राखेको छ, जुन एक प्रमुख रूसी विमान निर्माण संस्था हो। आक्रमणकारीहरूले भाला-फिसिङ रणनीतिहरू प्रयोग गर्छन् जसले 'товарно-транспортная накладная' (TTN) कागजातहरूको शोषण गर्दछ, जुन रूस भित्र रसद सञ्चालनको लागि महत्त्वपूर्ण कार्गो यातायातको एक प्रकार हो।
आक्रमण कसरी फैलिन्छ: हतियारयुक्त प्रलोभन र मालवेयर तैनाथी
संक्रमण शृङ्खला भाला-फिसिङ इमेलहरूबाट सुरु हुन्छ जसमा नक्कली कार्गो डेलिभरी-थीम गरिएको सामग्री हुन्छ। यी सन्देशहरूमा विन्डोज सर्टकट (LNK) फाइल भएको ZIP अभिलेखहरू समावेश छन्। कार्यान्वयन गर्दा, LNK फाइलले PowerShell प्रयोग गरेर डिकोय माइक्रोसफ्ट एक्सेल कागजात सुरु गर्छ र साथसाथै सम्झौता गरिएको प्रणालीमा EAGLET DLL ब्याकडोर स्थापना गर्छ।
उक्त डिकॉय कागजातले फेब्रुअरी २०२४ मा अमेरिकी ट्रेजरी अफिस अफ फरेन एसेट कन्ट्रोल (OFAC) द्वारा स्वीकृत गरिएको रूसी रेलवे कन्टेनर टर्मिनल अपरेटर, ओब्लट्रान्सटरमिनललाई उल्लेख गर्दछ - यो चाल सम्भवतः लोभमा विश्वसनीयता र जरुरीता थप्ने उद्देश्यले गरिएको हो।
भित्री EAGLET: क्षमताहरू र C2 सञ्चार
EAGLET ब्याकडोर गुप्तचर सङ्कलन र निरन्तर पहुँचको लागि डिजाइन गरिएको एक गोप्य इम्प्लान्ट हो। यसको क्षमताहरूमा समावेश छन्:
- प्रणाली जानकारी सङ्कलन गर्दै
- १८५.२२५.१७.१०४ IP ठेगानामा हार्डकोड गरिएको C2 सर्भरमा जडान गर्दै
- कार्यान्वयनको लागि आदेशहरू पुन: प्राप्त गर्न HTTP प्रतिक्रियाहरू पार्स गर्दै
इम्प्लान्टले अन्तरक्रियात्मक शेल पहुँच सुविधा दिन्छ र फाइल अपलोड/डाउनलोड सञ्चालनहरूलाई समर्थन गर्दछ। यद्यपि, कमाण्ड-एन्ड-कन्ट्रोल (C2) सर्भरको हालको अफलाइन स्थितिका कारण, विश्लेषकहरूले सम्भावित अर्को-चरण पेलोडहरूको पूर्ण दायरा निर्धारण गर्न सकेका छैनन्।
अन्य खतरा अभिनेताहरूसँगको सम्बन्ध: EAGLET र Head Mare
प्रमाणले सुझाव दिन्छ कि UNG0901 एक्लै सञ्चालन भइरहेको छैन। EAGLET तैनाथ गर्ने यस्तै अभियानहरू रूसको सैन्य क्षेत्रमा थप संस्थाहरूलाई लक्षित गर्दै अवलोकन गरिएको छ। यी अपरेशनहरूले हेड मारे भनेर चिनिने अर्को खतरा समूहसँग सम्बन्ध प्रकट गर्दछ, जुन रूसी संगठनहरूमा केन्द्रित छ।
ओभरल्यापका प्रमुख सूचकहरू समावेश छन्:
- EAGLET र Head Mare टूलसेटहरू बीच स्रोत कोड समानताहरू
- फिसिङ संलग्नकहरूमा साझा नामकरण परम्पराहरू
EAGLET र PhantomDL बीचको कार्यात्मक समानता, एक गो-आधारित ब्याकडोर जुन यसको शेल र फाइल-स्थानान्तरण क्षमताहरूको लागि परिचित छ।
मुख्य कुराहरू: चेतावनी संकेतहरू र निरन्तर खतराहरू
यो अभियानले भाला-फिसिङ अपरेशनहरूको बढ्दो परिशुद्धतालाई प्रकाश पार्छ, विशेष गरी TTN कागजातहरू जस्ता डोमेन-विशिष्ट लुरहरू प्रयोग गर्नेहरू। डिकोय फाइलहरूमा स्वीकृत संस्थाहरूको प्रयोग, EAGLET जस्ता अनुकूलन मालवेयरसँग मिलेर, महत्वपूर्ण पूर्वाधारमा लक्षित अत्यधिक लक्षित जासुसी अभियानहरूमा बढ्दो प्रवृत्तिलाई चित्रण गर्दछ।
सम्झौताका संकेतकहरू र हेर्नुपर्ने रातो झण्डाहरू:
- स्वीकृत रूसी संस्थाहरूबाट कार्गो वा डेलिभरी कागजातहरू सन्दर्भ गर्ने इमेलहरू।
- PowerShell आदेशहरू कार्यान्वयन गर्ने LNK फाइलहरू भएका शंकास्पद ZIP संलग्नकहरू।
- अपरिचित IP हरूमा आउटबाउन्ड जडानहरू।
साइबर सुरक्षा पेशेवरहरूले UNG0901 जस्ता खतरा अभिनेताहरूको विकसित रणनीतिहरूप्रति सतर्क रहनु पर्छ, विशेष गरी जब तिनीहरूले अनुकूलित मालवेयर इम्प्लान्टहरू र ओभरल्यापिङ टूलकिटहरूद्वारा संवेदनशील क्षेत्रहरूलाई लक्षित गर्छन्।
