EAGLET Backdoor Malware
Spiunazhi kibernetik vazhdon të evoluojë, me aktorë kërcënues të lidhur me shtetin që përdorin taktika gjithnjë e më mashtruese. Një nga incidentet e fundit përfshin një fushatë të hollësishme që synon kompromentimin e sektorëve të hapësirës ajrore dhe të mbrojtjes të Rusisë, duke përdorur një derë të pasme të personalizuar të quajtur EAGLET për mbikëqyrje të fshehtë dhe vjedhje të të dhënave.
Tabela e Përmbajtjes
Objektivi i identifikuar: Hapësira ajrore ruse nën rrethim
Fushata, e njohur si Operacioni CargoTalon, i është atribuar një grumbulli kërcënimesh të etiketuar UNG0901 (Grupi i Panjohur 901). Ky grup i ka vënë syrin Shoqatës së Prodhimit të Avionëve Voronezh (VASO), një njësi e madhe ruse e prodhimit të avionëve. Sulmuesit përdorin taktika spear-phishing që shfrytëzojnë dokumentet 'товарно-транспортная накладная' (TTN), një lloj forme transporti mallrash kritike për operacionet logjistike brenda Rusisë.
Si zhvillohet sulmi: Karremat e armatosura dhe vendosja e programeve keqdashëse
Zinxhiri i infeksionit fillon me email-e me temë "spear-phishing" që përmbajnë përmbajtje të rreme me temë dërgimin e ngarkesave. Këto mesazhe përfshijnë arkiva ZIP që përmbajnë një skedar shkurtoresh të Windows (LNK). Kur ekzekutohet, skedari LNK përdor PowerShell për të nisur një dokument mashtrues të Microsoft Excel, ndërsa njëkohësisht instalon derën e pasme EAGLET DLL në sistemin e kompromentuar.
Dokumenti mashtrues i referohet Obltransterminal, një operatori rus i terminalit hekurudhor të kontejnerëve i sanksionuar nga Zyra e Kontrollit të Aseteve të Huaja (OFAC) e Thesarit të SHBA-së në shkurt 2024 - një veprim që ka të ngjarë të ketë për qëllim t'i shtojë besueshmëri dhe urgjencë joshjes.
Brenda EAGLET: Aftësitë dhe Komunikimi C2
Dera e pasme EAGLET është një implant i fshehtë i projektuar për mbledhjen e inteligjencës dhe aksesin e vazhdueshëm. Aftësitë e tij përfshijnë:
- Mbledhja e informacionit të sistemit
- Lidhja me një server C2 të koduar në adresën IP 185.225.17.104
- Analizimi i përgjigjeve HTTP për të marrë komandat për ekzekutim
Implanti ofron akses interaktiv në shell dhe mbështet operacionet e ngarkimit/shkarkimit të skedarëve. Megjithatë, për shkak të statusit aktual jashtë linje të serverit Command-and-Control (C2), analistët nuk kanë qenë në gjendje të përcaktojnë gamën e plotë të ngarkesave të mundshme të fazës tjetër.
Lidhjet me aktorë të tjerë kërcënimesh: EAGLET dhe Head Mare
Provat sugjerojnë se UNG0901 nuk vepron në izolim. Fushata të ngjashme që përdorin EAGLET janë vërejtur duke synuar subjekte të tjera në sektorin ushtarak të Rusisë. Këto operacione zbulojnë lidhje me një grup tjetër kërcënimi të njohur si Head Mare, i identifikuar për fokusin e tij në organizatat ruse.
Treguesit kryesorë të mbivendosjes përfshijnë:
- Ngjashmëritë e kodit burimor midis mjeteve EAGLET dhe Head Mare
- Konventat e përbashkëta të emërtimit në bashkëngjitjet e phishing-ut
Ngjashmëritë funksionale midis EAGLET dhe PhantomDL, një derë e pasme e bazuar në Go e njohur për aftësitë e saj të shell dhe transferimit të skedarëve
Përmbledhje kryesore: Shenja paralajmëruese dhe kërcënime të vazhdueshme
Kjo fushatë nxjerr në pah saktësinë në rritje të operacioneve të spear-phishing, veçanërisht ato që përdorin karremra specifike për domenin, siç janë dokumentet TTN. Përdorimi i subjekteve të sanksionuara në skedarët e karremave, i kombinuar me malware të personalizuar si EAGLET, ilustron një trend në rritje në fushatat e spiunazhit me objektiv të lartë që synojnë infrastrukturën kritike.
Treguesit e kompromentimit dhe sinjalet paralajmëruese për të cilat duhet të keni kujdes:
- Email-e që referojnë dokumente mallrash ose dërgesash nga subjekte ruse të sanksionuara.
- Bashkëngjitje të dyshimta ZIP që përmbajnë skedarë LNK që ekzekutojnë komandat PowerShell.
- Lidhje dalëse me IP të panjohura.
Profesionistët e sigurisë kibernetike duhet të mbeten vigjilentë ndaj taktikave në zhvillim të aktorëve kërcënues si UNG0901, veçanërisht pasi ato synojnë sektorë të ndjeshëm me implante të personalizuara të malware dhe mjete që mbivendosen.
