EAGLET Backdoor Malware
Cyberszpiegostwo stale ewoluuje, a podmioty powiązane z państwem stosują coraz bardziej zwodnicze taktyki. Jednym z najnowszych incydentów jest rozbudowana kampania mająca na celu zaatakowanie rosyjskiego sektora lotnictwa i obrony, wykorzystująca specjalnie opracowaną furtkę o nazwie EAGLET do ukrytego nadzoru i kradzieży danych.
Spis treści
Zidentyfikowano cel: rosyjskie lotnictwo i kosmonautyka pod ostrzałem
Kampania, znana jako Operacja CargoTalon, została przypisana klastrowi zagrożeń oznaczonemu jako UNG0901 (Nieznana Grupa 901). Grupa ta obrała sobie za cel Woroneżskie Stowarzyszenie Produkcji Samolotów (VASO), dużego rosyjskiego producenta samolotów. Atakujący stosują taktykę spear phishingu, wykorzystując dokumenty „товарно-транспортная накладная” (TTN), rodzaj formularza transportu ładunków, który ma kluczowe znaczenie dla operacji logistycznych w Rosji.
Jak przebiega atak: uzbrojone przynęty i wdrażanie złośliwego oprogramowania
Łańcuch infekcji rozpoczyna się od wiadomości e-mail typu spear phishing, które zawierają fałszywe treści związane z dostawą ładunków. Wiadomości te zawierają archiwa ZIP zawierające plik skrótu systemu Windows (LNK). Po uruchomieniu plik LNK używa programu PowerShell do uruchomienia fałszywego dokumentu programu Microsoft Excel, jednocześnie instalując w zainfekowanym systemie bibliotekę EAGLET DLL.
W dokumencie-przynęcie mowa jest o Obltransterminalu, rosyjskim operatorze terminalu kontenerowego na kolei, który w lutym 2024 r. został objęty sankcjami przez Biuro Kontroli Aktywów Zagranicznych (OFAC) Departamentu Skarbu USA. Prawdopodobnie miało to na celu zwiększenie wiarygodności i poczucia pilności przynęty.
Wewnątrz EAGLET: możliwości i komunikacja C2
Tylne wejście EAGLET to ukryty implant zaprojektowany do gromadzenia informacji wywiadowczych i stałego dostępu. Jego możliwości obejmują:
- Zbieranie informacji o systemie
- Łączenie się z zakodowanym na stałe serwerem C2 o adresie IP 185.225.17.104
- Analizowanie odpowiedzi HTTP w celu pobrania poleceń do wykonania
Implant oferuje interaktywny dostęp do powłoki i obsługuje operacje przesyłania/pobierania plików. Jednak ze względu na obecny stan offline serwera Command-and-Control (C2), analitycy nie byli w stanie określić pełnego zakresu możliwych ładunków kolejnego etapu.
Powiązania z innymi aktorami stanowiącymi zagrożenie: EAGLET i Head Mare
Dowody wskazują, że UNG0901 nie działa w izolacji. Zaobserwowano podobne kampanie z wykorzystaniem EAGLET, wymierzone w inne podmioty w rosyjskim sektorze wojskowym. Operacje te ujawniają powiązania z inną grupą zagrożeń znaną jako Head Mare, zidentyfikowaną ze względu na koncentrację na organizacjach rosyjskich.
Do najważniejszych wskaźników nakładania się zalicza się:
- Podobieństwa kodu źródłowego między zestawami narzędzi EAGLET i Head Mare
- Wspólne konwencje nazewnictwa w załącznikach phishingowych
Podobieństwa funkcjonalne między EAGLET i PhantomDL, backdoorem opartym na języku Go, znanym ze swoich możliwości obsługi powłoki i przesyłania plików
Najważniejsze wnioski: Znaki ostrzegawcze i stałe zagrożenia
Ta kampania uwydatnia rosnącą precyzję operacji spear phishingu, zwłaszcza tych wykorzystujących przynęty specyficzne dla danej domeny, takie jak dokumenty TTN. Wykorzystanie plików z podejrzanymi podmiotami w połączeniu z niestandardowym złośliwym oprogramowaniem, takim jak EAGLET, ilustruje rosnący trend w wysoce ukierunkowanych kampaniach szpiegowskich wymierzonych w infrastrukturę krytyczną.
Wskaźniki zagrożenia i sygnały ostrzegawcze, na które należy zwrócić uwagę:
- Wiadomości e-mail odnoszące się do dokumentów dotyczących ładunków lub dostaw od objętych sankcjami podmiotów rosyjskich.
- Podejrzane załączniki ZIP zawierające pliki LNK wykonujące polecenia programu PowerShell.
- Połączenia wychodzące na nieznane adresy IP.
Specjaliści ds. cyberbezpieczeństwa powinni zachować czujność w obliczu zmieniających się taktyk cyberprzestępców, takich jak UNG0901, zwłaszcza że atakują oni wrażliwe sektory, stosując niestandardowe implanty złośliwego oprogramowania i nakładające się zestawy narzędzi.
