EAGLET Backdoor-malware
Cyberespionage blijft zich ontwikkelen, waarbij aan staten gelinkte dreigingsactoren steeds meer misleidende tactieken gebruiken. Een van de recente incidenten betreft een uitgebreide campagne die gericht is op het compromitteren van de Russische lucht- en ruimtevaartsector en defensie, waarbij gebruik wordt gemaakt van een speciale backdoor genaamd EAGLET voor geheime surveillance en datadiefstal.
Inhoudsopgave
Doelwit geïdentificeerd: Russische lucht- en ruimtevaart onder vuur
De campagne, bekend als Operatie CargoTalon, wordt toegeschreven aan een dreigingscluster met de naam UNG0901 (Onbekende Groep 901). Deze groep heeft het gemunt op de Voronezh Aircraft Production Association (VASO), een grote Russische vliegtuigbouwer. De aanvallers maken gebruik van spearphishing-tactieken die misbruik maken van 'товарно-транспортная накладная'-documenten, een soort vrachtvervoersformulier dat cruciaal is voor logistieke operaties in Rusland.
Hoe de aanval zich ontvouwt: gewapende lokmiddelen en malware-implementatie
De infectieketen begint met spearphishing-e-mails met nep-inhoud over vrachtbezorging. Deze berichten bevatten ZIP-bestanden met een Windows-snelkoppeling (LNK). Wanneer het LNK-bestand wordt uitgevoerd, gebruikt het PowerShell om een Microsoft Excel-document te openen en tegelijkertijd de EAGLET DLL-backdoor op het gecompromitteerde systeem te installeren.
In het afleidingsdocument wordt verwezen naar Obltransterminal, een Russische spoorwegcontainerterminalexploitant die in februari 2024 door het Office of Foreign Assets Control (OFAC) van het Amerikaanse ministerie van Financiën een sanctie kreeg opgelegd. Deze stap was waarschijnlijk bedoeld om de geloofwaardigheid en urgentie van het lokaas te vergroten.
Binnen EAGLET: Mogelijkheden en C2-communicatie
De EAGLET-backdoor is een stealth-implantaat, ontworpen voor het verzamelen van inlichtingen en permanente toegang. De mogelijkheden omvatten:
- Systeeminformatie verzamelen
- Verbinding maken met een hardgecodeerde C2-server op IP-adres 185.225.17.104
- HTTP-reacties parseren om opdrachten op te halen voor uitvoering
Het implantaat biedt interactieve shell-toegang en ondersteunt het uploaden en downloaden van bestanden. Vanwege de huidige offline status van de Command-and-Control (C2)-server hebben analisten echter nog niet de volledige reikwijdte van mogelijke volgende fase-payloads kunnen bepalen.
Banden met andere dreigingsactoren: EAGLET en Head Mare
Er zijn aanwijzingen dat UNG0901 niet geïsoleerd opereert. Soortgelijke EAGLET-campagnes zijn waargenomen die gericht zijn op andere entiteiten in de Russische militaire sector. Deze operaties onthullen connecties met een andere dreigingsgroep, Head Mare, die bekendstaat om zijn focus op Russische organisaties.
Belangrijke indicatoren voor overlapping zijn:
- Overeenkomsten in de broncode tussen EAGLET en Head Mare toolsets
- Gedeelde naamgevingsconventies in phishingbijlagen
Functionele overeenkomsten tussen EAGLET en PhantomDL, een op Go gebaseerde backdoor die bekend staat om zijn shell- en bestandsoverdrachtsmogelijkheden
Belangrijkste punten: waarschuwingssignalen en aanhoudende bedreigingen
Deze campagne benadrukt de toenemende precisie van spearphishing-operaties, met name die waarbij gebruik wordt gemaakt van domeinspecifieke lokkertjes zoals TTN-documenten. Het gebruik van goedgekeurde entiteiten in lokbestanden, gecombineerd met aangepaste malware zoals EAGLET, illustreert een groeiende trend in zeer gerichte spionagecampagnes gericht op kritieke infrastructuur.
Indicatoren van een inbreuk en waarschuwingssignalen waar u op moet letten:
- E-mails waarin wordt verwezen naar vracht- of leveringsdocumenten van gesanctioneerde Russische entiteiten.
- Verdachte ZIP-bijlagen met LNK-bestanden die PowerShell-opdrachten uitvoeren.
- Uitgaande verbindingen naar onbekende IP's.
Cybersecurityprofessionals moeten alert blijven op de veranderende tactieken van cybercriminelen zoals UNG0901, vooral omdat ze zich met op maat gemaakte malware-implantaten en overlappende toolkits op gevoelige sectoren richten.
