Вредоносное ПО EAGLET Backdoor
Кибершпионаж продолжает развиваться, и связанные с государством злоумышленники используют всё более изощрённые методы. Один из последних инцидентов связан с тщательно продуманной кампанией, направленной на компрометацию российского аэрокосмического и оборонного секторов с использованием специального бэкдора EAGLET для скрытого наблюдения и кражи данных.
Оглавление
Цель определена: российская авиация под осадой
Кампания, известная как Operation CargoTalon, относится к кластеру угроз UNG0901 (Неизвестная группа 901). Эта группа нацелилась на Воронежское авиационное производственное объединение (ВАСО), крупное российское авиастроительное предприятие. Злоумышленники используют тактику целевого фишинга, используя товарно-транспортные накладные (ТТН) – вид грузовых перевозок, критически важный для логистических операций в России.
Как разворачивается атака: использование приманок и вредоносного ПО
Цепочка заражения начинается с фишинговых писем, содержащих поддельный контент, связанный с доставкой грузов. Эти письма содержат ZIP-архивы с файлом ярлыка Windows (LNK). При запуске LNK-файл использует PowerShell для запуска поддельного документа Microsoft Excel и одновременно устанавливает бэкдор EAGLET DLL на скомпрометированную систему.
В документе-приманке упоминается «Облтранстерминал», российский оператор железнодорожного контейнерного терминала, в отношении которого Управление по контролю за иностранными активами Министерства финансов США (OFAC) ввело санкции в феврале 2024 года. Этот шаг, вероятно, призван повысить доверие к приманке и сделать ее более срочной.
Внутри EAGLET: возможности и C2-коммуникация
Бэкдор EAGLET — это скрытый имплант, предназначенный для сбора разведывательной информации и обеспечения постоянного доступа. Его возможности включают:
- Сбор системной информации
- Подключение к жестко прописанному серверу C2 по IP-адресу 185.225.17.104
- Анализ HTTP-ответов для извлечения команд для выполнения
Имплант поддерживает интерактивный доступ к командной оболочке и операции загрузки/выгрузки файлов. Однако из-за текущего отключения сервера управления (C2) аналитики не смогли определить полный объём возможных полезных нагрузок следующего этапа.
Связи с другими источниками угроз: EAGLET и Head Mare
Имеющиеся данные свидетельствуют о том, что UNG0901 действует не в одиночку. Аналогичные кампании с использованием EAGLET были замечены и направлены против других организаций российского военного сектора. Эти операции выявляют связи с другой группой, известной как Head Mare, известной своей ориентацией на российские организации.
Основные показатели перекрытия включают в себя:
- Сходства исходного кода между наборами инструментов EAGLET и Head Mare
- Общие соглашения об именовании в фишинговых вложениях
Функциональное сходство между EAGLET и PhantomDL, бэкдором на базе Go, известным своими возможностями оболочки и передачи файлов.
Основные выводы: предупреждающие знаки и постоянные угрозы
Эта кампания демонстрирует растущую точность фишинговых атак, особенно с использованием доменно-зависимых приманок, таких как документы TTN. Использование санкционированных объектов в файлах-приманках в сочетании с вредоносным ПО, таким как EAGLET, иллюстрирует растущую тенденцию к проведению узконаправленных шпионских кампаний, направленных на критически важную инфраструктуру.
Индикаторы компрометации и тревожные сигналы, на которые следует обратить внимание:
- Электронные письма, в которых упоминаются грузы или товаросопроводительные документы от российских организаций, находящихся под санкциями.
- Подозрительные ZIP-вложения, содержащие LNK-файлы, которые выполняют команды PowerShell.
- Исходящие соединения с незнакомыми IP-адресами.
Специалисты по кибербезопасности должны быть бдительны к меняющейся тактике таких злоумышленников, как UNG0901, особенно учитывая, что они нацелены на уязвимые секторы с помощью специализированных вредоносных программ и дублирующихся наборов инструментов.
