EAGLET Backdoor Malware

ਸਾਈਬਰ ਜਾਸੂਸੀ ਦਾ ਵਿਕਾਸ ਜਾਰੀ ਹੈ, ਰਾਜ ਨਾਲ ਜੁੜੇ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਕਾਰਕੁਨ ਵੱਧ ਤੋਂ ਵੱਧ ਧੋਖੇਬਾਜ਼ ਰਣਨੀਤੀਆਂ ਵਰਤ ਰਹੇ ਹਨ। ਨਵੀਨਤਮ ਘਟਨਾਵਾਂ ਵਿੱਚੋਂ ਇੱਕ ਵਿੱਚ ਰੂਸ ਦੇ ਏਰੋਸਪੇਸ ਅਤੇ ਰੱਖਿਆ ਖੇਤਰਾਂ ਨਾਲ ਸਮਝੌਤਾ ਕਰਨ ਦੇ ਉਦੇਸ਼ ਨਾਲ ਇੱਕ ਵਿਸਤ੍ਰਿਤ ਮੁਹਿੰਮ ਸ਼ਾਮਲ ਹੈ, ਗੁਪਤ ਨਿਗਰਾਨੀ ਅਤੇ ਡੇਟਾ ਚੋਰੀ ਲਈ EAGLET ਨਾਮਕ ਇੱਕ ਕਸਟਮ ਬੈਕਡੋਰ ਦੀ ਵਰਤੋਂ ਕਰਨਾ।

ਨਿਸ਼ਾਨੇ ਦੀ ਪਛਾਣ: ਰੂਸੀ ਏਰੋਸਪੇਸ ਘੇਰਾਬੰਦੀ ਅਧੀਨ

ਇਹ ਮੁਹਿੰਮ, ਜਿਸਨੂੰ ਓਪਰੇਸ਼ਨ ਕਾਰਗੋਟੈਲੋਨ ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ, ਨੂੰ UNG0901 (ਅਣਜਾਣ ਸਮੂਹ 901) ਲੇਬਲ ਵਾਲੇ ਇੱਕ ਖ਼ਤਰੇ ਵਾਲੇ ਸਮੂਹ ਨਾਲ ਜੋੜਿਆ ਗਿਆ ਹੈ। ਇਸ ਸਮੂਹ ਨੇ ਆਪਣੀਆਂ ਨਜ਼ਰਾਂ ਵੋਰੋਨੇਜ਼ ਏਅਰਕ੍ਰਾਫਟ ਪ੍ਰੋਡਕਸ਼ਨ ਐਸੋਸੀਏਸ਼ਨ (VASO) 'ਤੇ ਰੱਖੀਆਂ ਹਨ, ਜੋ ਕਿ ਇੱਕ ਪ੍ਰਮੁੱਖ ਰੂਸੀ ਜਹਾਜ਼ ਨਿਰਮਾਣ ਸੰਸਥਾ ਹੈ। ਹਮਲਾਵਰ ਬਰਛੀ-ਫਿਸ਼ਿੰਗ ਰਣਨੀਤੀਆਂ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ ਜੋ 'товарно-транспортная накладная' (TTN) ਦਸਤਾਵੇਜ਼ਾਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦੇ ਹਨ, ਜੋ ਕਿ ਰੂਸ ਦੇ ਅੰਦਰ ਲੌਜਿਸਟਿਕ ਕਾਰਜਾਂ ਲਈ ਮਹੱਤਵਪੂਰਨ ਕਾਰਗੋ ਟ੍ਰਾਂਸਪੋਰਟ ਦੀ ਇੱਕ ਕਿਸਮ ਹੈ।

ਹਮਲਾ ਕਿਵੇਂ ਫੈਲਦਾ ਹੈ: ਹਥਿਆਰਾਂ ਨਾਲ ਭਰੇ ਲਾਲਚ ਅਤੇ ਮਾਲਵੇਅਰ ਦੀ ਤੈਨਾਤੀ

ਇਨਫੈਕਸ਼ਨ ਚੇਨ ਸਪੀਅਰ-ਫਿਸ਼ਿੰਗ ਈਮੇਲਾਂ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦੀ ਹੈ ਜਿਨ੍ਹਾਂ ਵਿੱਚ ਨਕਲੀ ਕਾਰਗੋ ਡਿਲੀਵਰੀ-ਥੀਮ ਵਾਲੀ ਸਮੱਗਰੀ ਹੁੰਦੀ ਹੈ। ਇਹਨਾਂ ਸੁਨੇਹਿਆਂ ਵਿੱਚ ਇੱਕ ਵਿੰਡੋਜ਼ ਸ਼ਾਰਟਕੱਟ (LNK) ਫਾਈਲ ਵਾਲੇ ZIP ਆਰਕਾਈਵ ਸ਼ਾਮਲ ਹਨ। ਜਦੋਂ ਐਗਜ਼ੀਕਿਊਟ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਤਾਂ LNK ਫਾਈਲ ਪਾਵਰਸ਼ੈਲ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਇੱਕ ਡੀਕੋਏ ਮਾਈਕ੍ਰੋਸਾਫਟ ਐਕਸਲ ਦਸਤਾਵੇਜ਼ ਲਾਂਚ ਕਰਦੀ ਹੈ ਜਦੋਂ ਕਿ ਨਾਲ ਹੀ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮ 'ਤੇ EAGLET DLL ਬੈਕਡੋਰ ਸਥਾਪਤ ਕਰਦੀ ਹੈ।

ਇਹ ਦਸਤਾਵੇਜ਼ ਓਬਲਟ੍ਰਾਂਸਟਰਮੀਨਲ ਦਾ ਹਵਾਲਾ ਦਿੰਦਾ ਹੈ, ਜੋ ਕਿ ਇੱਕ ਰੂਸੀ ਰੇਲਵੇ ਕੰਟੇਨਰ ਟਰਮੀਨਲ ਆਪਰੇਟਰ ਹੈ ਜਿਸਨੂੰ ਫਰਵਰੀ 2024 ਵਿੱਚ ਅਮਰੀਕੀ ਖਜ਼ਾਨਾ ਦਫਤਰ ਦੇ ਵਿਦੇਸ਼ੀ ਸੰਪਤੀਆਂ ਨਿਯੰਤਰਣ (OFAC) ਦੁਆਰਾ ਮਨਜ਼ੂਰੀ ਦਿੱਤੀ ਗਈ ਸੀ - ਇੱਕ ਅਜਿਹਾ ਕਦਮ ਜੋ ਸੰਭਾਵਤ ਤੌਰ 'ਤੇ ਲਾਲਚ ਵਿੱਚ ਭਰੋਸੇਯੋਗਤਾ ਅਤੇ ਜ਼ਰੂਰੀਤਾ ਜੋੜਨ ਦਾ ਇਰਾਦਾ ਰੱਖਦਾ ਹੈ।

ਈਗਲਟ ਦੇ ਅੰਦਰ: ਸਮਰੱਥਾਵਾਂ ਅਤੇ C2 ਸੰਚਾਰ

EAGLET ਬੈਕਡੋਰ ਇੱਕ ਸਟੀਲਥੀ ਇਮਪਲਾਂਟ ਹੈ ਜੋ ਖੁਫੀਆ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਨ ਅਤੇ ਨਿਰੰਤਰ ਪਹੁੰਚ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਸ ਦੀਆਂ ਸਮਰੱਥਾਵਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• ਸਿਸਟਮ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕੀਤੀ ਜਾ ਰਹੀ ਹੈ
• IP ਐਡਰੈੱਸ 185.225.17.104 'ਤੇ ਇੱਕ ਹਾਰਡਕੋਡ ਕੀਤੇ C2 ਸਰਵਰ ਨਾਲ ਜੁੜਨਾ
• ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਲਈ ਕਮਾਂਡਾਂ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ HTTP ਜਵਾਬਾਂ ਨੂੰ ਪਾਰਸ ਕਰਨਾ

ਇਮਪਲਾਂਟ ਵਿੱਚ ਇੰਟਰਐਕਟਿਵ ਸ਼ੈੱਲ ਐਕਸੈਸ ਦੀ ਵਿਸ਼ੇਸ਼ਤਾ ਹੈ ਅਤੇ ਫਾਈਲ ਅਪਲੋਡ/ਡਾਊਨਲੋਡ ਓਪਰੇਸ਼ਨਾਂ ਦਾ ਸਮਰਥਨ ਕਰਦਾ ਹੈ। ਹਾਲਾਂਕਿ, ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਦੀ ਮੌਜੂਦਾ ਔਫਲਾਈਨ ਸਥਿਤੀ ਦੇ ਕਾਰਨ, ਵਿਸ਼ਲੇਸ਼ਕ ਸੰਭਾਵਿਤ ਅਗਲੇ-ਪੜਾਅ ਦੇ ਪੇਲੋਡਾਂ ਦੇ ਪੂਰੇ ਦਾਇਰੇ ਨੂੰ ਨਿਰਧਾਰਤ ਕਰਨ ਦੇ ਯੋਗ ਨਹੀਂ ਹੋਏ ਹਨ।

ਹੋਰ ਖ਼ਤਰੇ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਨਾਲ ਸਬੰਧ: ਈਗਲਟ ਅਤੇ ਹੈੱਡ ਮੇਅਰ

ਸਬੂਤ ਦਰਸਾਉਂਦੇ ਹਨ ਕਿ UNG0901 ਇਕੱਲਿਆਂ ਕੰਮ ਨਹੀਂ ਕਰ ਰਿਹਾ ਹੈ। EAGLET ਨੂੰ ਤਾਇਨਾਤ ਕਰਨ ਵਾਲੀਆਂ ਇਸੇ ਤਰ੍ਹਾਂ ਦੀਆਂ ਮੁਹਿੰਮਾਂ ਰੂਸ ਦੇ ਫੌਜੀ ਖੇਤਰ ਵਿੱਚ ਵਾਧੂ ਸੰਸਥਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੀਆਂ ਵੇਖੀਆਂ ਗਈਆਂ ਹਨ। ਇਹ ਕਾਰਵਾਈਆਂ ਇੱਕ ਹੋਰ ਧਮਕੀ ਸਮੂਹ ਨਾਲ ਸਬੰਧਾਂ ਦਾ ਖੁਲਾਸਾ ਕਰਦੀਆਂ ਹਨ ਜਿਸਨੂੰ ਹੈੱਡ ਮੇਅਰ ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ, ਜਿਸਨੂੰ ਰੂਸੀ ਸੰਗਠਨਾਂ 'ਤੇ ਧਿਆਨ ਕੇਂਦਰਿਤ ਕਰਨ ਲਈ ਪਛਾਣਿਆ ਜਾਂਦਾ ਹੈ।

ਓਵਰਲੈਪ ਦੇ ਮੁੱਖ ਸੂਚਕਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• EAGLET ਅਤੇ Head Mare ਟੂਲਸੈੱਟਾਂ ਵਿਚਕਾਰ ਸਰੋਤ ਕੋਡ ਸਮਾਨਤਾਵਾਂ
• ਫਿਸ਼ਿੰਗ ਅਟੈਚਮੈਂਟਾਂ ਵਿੱਚ ਸਾਂਝੇ ਨਾਮਕਰਨ ਪਰੰਪਰਾਵਾਂ

EAGLET ਅਤੇ PhantomDL ਵਿਚਕਾਰ ਕਾਰਜਸ਼ੀਲ ਸਮਾਨਤਾਵਾਂ, ਇੱਕ Go-ਅਧਾਰਿਤ ਬੈਕਡੋਰ ਜੋ ਇਸਦੇ ਸ਼ੈੱਲ ਅਤੇ ਫਾਈਲ-ਟ੍ਰਾਂਸਫਰ ਸਮਰੱਥਾਵਾਂ ਲਈ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ।

ਮੁੱਖ ਨੁਕਤੇ: ਚੇਤਾਵਨੀ ਦੇ ਚਿੰਨ੍ਹ ਅਤੇ ਲਗਾਤਾਰ ਖਤਰੇ

ਇਹ ਮੁਹਿੰਮ ਸਪੀਅਰ-ਫਿਸ਼ਿੰਗ ਓਪਰੇਸ਼ਨਾਂ ਦੀ ਵਧਦੀ ਸ਼ੁੱਧਤਾ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ, ਖਾਸ ਕਰਕੇ ਉਹ ਜੋ ਡੋਮੇਨ-ਵਿਸ਼ੇਸ਼ ਲਾਲਚ ਜਿਵੇਂ ਕਿ TTN ਦਸਤਾਵੇਜ਼ਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ। ਡੀਕੋਏ ਫਾਈਲਾਂ ਵਿੱਚ ਮਨਜ਼ੂਰਸ਼ੁਦਾ ਇਕਾਈਆਂ ਦੀ ਵਰਤੋਂ, EAGLET ਵਰਗੇ ਕਸਟਮ ਮਾਲਵੇਅਰ ਦੇ ਨਾਲ, ਮਹੱਤਵਪੂਰਨ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦੇ ਉਦੇਸ਼ ਨਾਲ ਬਹੁਤ ਜ਼ਿਆਦਾ ਨਿਸ਼ਾਨਾ ਬਣਾਏ ਗਏ ਜਾਸੂਸੀ ਮੁਹਿੰਮਾਂ ਵਿੱਚ ਵਧ ਰਹੇ ਰੁਝਾਨ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈ।

ਸਮਝੌਤੇ ਦੇ ਸੰਕੇਤ ਅਤੇ ਧਿਆਨ ਰੱਖਣ ਵਾਲੇ ਲਾਲ ਝੰਡੇ:

• ਪਾਬੰਦੀਸ਼ੁਦਾ ਰੂਸੀ ਸੰਸਥਾਵਾਂ ਤੋਂ ਕਾਰਗੋ ਜਾਂ ਡਿਲੀਵਰੀ ਦਸਤਾਵੇਜ਼ਾਂ ਦਾ ਹਵਾਲਾ ਦੇਣ ਵਾਲੀਆਂ ਈਮੇਲਾਂ।
• ਸ਼ੱਕੀ ZIP ਅਟੈਚਮੈਂਟ ਜਿਨ੍ਹਾਂ ਵਿੱਚ LNK ਫਾਈਲਾਂ ਹਨ ਜੋ PowerShell ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾਉਂਦੀਆਂ ਹਨ।
• ਅਣਜਾਣ IP ਐਡਰੈੱਸਾਂ ਨਾਲ ਬਾਹਰੀ ਕਨੈਕਸ਼ਨ।

ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਪੇਸ਼ੇਵਰਾਂ ਨੂੰ UNG0901 ਵਰਗੇ ਖ਼ਤਰੇ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਦੀਆਂ ਵਿਕਸਤ ਹੋ ਰਹੀਆਂ ਚਾਲਾਂ ਪ੍ਰਤੀ ਸੁਚੇਤ ਰਹਿਣਾ ਚਾਹੀਦਾ ਹੈ, ਖਾਸ ਕਰਕੇ ਜਦੋਂ ਉਹ ਅਨੁਕੂਲਿਤ ਮਾਲਵੇਅਰ ਇਮਪਲਾਂਟ ਅਤੇ ਓਵਰਲੈਪਿੰਗ ਟੂਲਕਿੱਟਾਂ ਨਾਲ ਸੰਵੇਦਨਸ਼ੀਲ ਖੇਤਰਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੇ ਹਨ।