Malvér EAGLET Backdoor
Kyberšpionáž sa neustále vyvíja a so štátom prepojení aktéri hrozby používajú čoraz viac klamlivých taktík. Jeden z najnovších incidentov zahŕňa prepracovanú kampaň zameranú na kompromitovanie ruského leteckého a obranného sektora, ktorá využíva špeciálne zadné vrátka s názvom EAGLET na tajné sledovanie a krádež údajov.
Obsah
Identifikovaný cieľ: Ruský vzdušný priestor v obkľúčení
Kampaň známa ako Operácia CargoTalon bola pripísaná hroziebnej skupine s označením UNG0901 (Neznáma skupina 901). Táto skupina si zamerala na Voronežské združenie pre výrobu lietadiel (VASO), významný ruský subjekt zaoberajúci sa výrobou lietadiel. Útočníci používajú taktiky spear-phishingu, ktoré zneužívajú dokumenty „товарно-транспортная накладная“ (TTN), čo je typ prepravného formulára nákladu, ktorý je kľúčový pre logistické operácie v Rusku.
Ako sa útok odvíja: Zbrane s návnadami a nasadenie malvéru
Reťazec infekcie začína phishingovými e-mailmi, ktoré obsahujú falošný obsah s tematikou doručovania nákladu. Tieto správy obsahujú ZIP archívy obsahujúce súbor s odkazom systému Windows (LNK). Po spustení súbor LNK použije PowerShell na spustenie návnadového dokumentu programu Microsoft Excel a súčasne nainštaluje zadné vrátka knižnice EAGLET DLL do napadnutého systému.
V lákavom dokumente sa spomína spoločnosť Obltransterminal, ruský prevádzkovateľ železničného kontajnerového terminálu, na ktorého v februári 2024 uvalil sankcie Úrad pre kontrolu zahraničných aktív (OFAC) amerického ministerstva financií – tento krok mal pravdepodobne zvýšiť dôveryhodnosť a naliehavosť lákadla.
Vnútri EAGLET: Schopnosti a komunikácia C2
Zadné vrátka EAGLET sú nenápadné implantáty určené na zhromažďovanie spravodajských informácií a trvalý prístup. Medzi ich schopnosti patrí:
- Zhromažďovanie systémových informácií
- Pripájanie k pevne zakódovanému serveru C2 na IP adrese 185.225.17.104
- Analýza HTTP odpovedí na načítanie príkazov na vykonanie
Implantát ponúka interaktívny prístup k shellu a podporuje operácie nahrávania/sťahovania súborov. Vzhľadom na aktuálny offline stav servera Command-and-Control (C2) však analytici nedokázali určiť úplný rozsah možných užitočných zaťažení ďalšej úrovne.
Väzby na ďalších aktérov hrozby: EAGLET a Head Mare
Dôkazy naznačujú, že UNG0901 nepôsobí izolovane. Podobné kampane s nasadením EAGLET boli pozorované aj zamerané na ďalšie subjekty v ruskom vojenskom sektore. Tieto operácie odhaľujú prepojenia s inou hrozbou známou ako Head Mare, ktorá je známa svojím zameraním na ruské organizácie.
Medzi kľúčové ukazovatele prekrývania patria:
- Podobnosti zdrojového kódu medzi sadami nástrojov EAGLET a Head Mare
- Zdieľané konvencie pomenovania v phishingových prílohách
Funkčné podobnosti medzi EAGLET a PhantomDL, backdoorom založeným na jazyku Go, známym pre svoje schopnosti shellu a prenosu súborov
Kľúčové poznatky: Varovné signály a pretrvávajúce hrozby
Táto kampaň zdôrazňuje rastúcu presnosť phishingových operácií, najmä tých, ktoré využívajú návnady špecifické pre danú doménu, ako sú napríklad dokumenty TTN. Používanie sankcionovaných entít v návnadových súboroch v kombinácii s vlastným malvérom, ako je EAGLET, ilustruje rastúci trend vysoko cielených špionážnych kampaní zameraných na kritickú infraštruktúru.
Indikátory kompromisu a varovné signály, na ktoré si treba dávať pozor:
- E-maily odkazujúce na náklad alebo dodacie dokumenty od sankcionovaných ruských subjektov.
- Podozrivé ZIP prílohy obsahujúce súbory LNK, ktoré vykonávajú príkazy PowerShellu.
- Odchádzajúce pripojenia k neznámym IP adresám.
Odborníci v oblasti kybernetickej bezpečnosti by mali byť ostražití voči vyvíjajúcim sa taktikám aktérov hrozieb, ako je UNG0901, najmä preto, že sa zameriavajú na citlivé sektory pomocou prispôsobených implantátov malvéru a prekrývajúcich sa súprav nástrojov.
