มัลแวร์แบ็คดอร์ EAGLET
การจารกรรมทางไซเบอร์ยังคงพัฒนาอย่างต่อเนื่อง โดยผู้ก่อภัยคุกคามที่เชื่อมโยงกับรัฐบาลได้ใช้กลยุทธ์ที่หลอกลวงมากขึ้นเรื่อยๆ หนึ่งในเหตุการณ์ล่าสุดเกี่ยวข้องกับแคมเปญที่ซับซ้อนซึ่งมุ่งเป้าไปที่การโจมตีภาคอวกาศและการป้องกันประเทศของรัสเซีย โดยใช้แบ็คดอร์ที่ออกแบบพิเศษชื่อว่า EAGLET สำหรับการเฝ้าระวังอย่างลับๆ และการโจรกรรมข้อมูล
สารบัญ
เป้าหมายที่ระบุ: การบินอวกาศของรัสเซียถูกปิดล้อม
แคมเปญที่รู้จักกันในชื่อ Operation CargoTalon เชื่อว่าเป็นภัยคุกคามคลัสเตอร์ที่ติดป้าย UNG0901 (กลุ่มที่ไม่รู้จัก 901) กลุ่มนี้มีเป้าหมายโจมตีสมาคมการผลิตอากาศยานโวโรเนซ (Voronezh Aircraft Production Association: VASO) ซึ่งเป็นบริษัทผู้ผลิตอากาศยานรายใหญ่ของรัสเซีย ผู้โจมตีใช้กลยุทธ์ฟิชชิงแบบเจาะจง (Spear-Phishing) โดยใช้ประโยชน์จากเอกสาร 'товарно-транспортная накладная' (TTN) ซึ่งเป็นแบบฟอร์มการขนส่งสินค้าประเภทหนึ่งที่สำคัญต่อการดำเนินงานด้านโลจิสติกส์ภายในรัสเซีย
การโจมตีเกิดขึ้นได้อย่างไร: เหยื่อล่อที่เป็นอาวุธและการใช้มัลแวร์
ห่วงโซ่การติดเชื้อเริ่มต้นด้วยอีเมลฟิชชิงแบบสเปียร์ฟิชชิงที่มีเนื้อหาปลอมเกี่ยวกับการจัดส่งสินค้า ข้อความเหล่านี้ประกอบด้วยไฟล์ ZIP ที่มีไฟล์ทางลัดของ Windows (LNK) เมื่อเรียกใช้งาน ไฟล์ LNK จะใช้ PowerShell เพื่อเรียกใช้เอกสาร Microsoft Excel ปลอม พร้อมกับติดตั้งแบ็คดอร์ EAGLET DLL ลงในระบบที่ถูกโจมตีไปพร้อมๆ กัน
เอกสารล่อลวงอ้างอิงถึง Obltransterminal ซึ่งเป็นผู้ประกอบการสถานีขนส่งตู้คอนเทนเนอร์ทางรถไฟของรัสเซียที่ถูกคว่ำบาตรโดยสำนักงานควบคุมทรัพย์สินต่างประเทศ (OFAC) ของกระทรวงการคลังสหรัฐฯ ในเดือนกุมภาพันธ์ 2024 ซึ่งการเคลื่อนไหวดังกล่าวน่าจะมีจุดมุ่งหมายเพื่อเพิ่มความน่าเชื่อถือและความเร่งด่วนให้กับการล่อลวงดังกล่าว
ภายใน EAGLET: ความสามารถและการสื่อสาร C2
แบ็คดอร์ EAGLET คืออุปกรณ์ฝังตัวที่ซ่อนตัวอยู่ ออกแบบมาเพื่อการรวบรวมข่าวกรองและการเข้าถึงอย่างต่อเนื่อง ความสามารถของอุปกรณ์ประกอบด้วย:
- การรวบรวมข้อมูลระบบ
- การเชื่อมต่อกับเซิร์ฟเวอร์ C2 ที่เข้ารหัสแบบฮาร์ดโค้ดที่อยู่ IP 185.225.17.104
- การแยกวิเคราะห์การตอบสนอง HTTP เพื่อดึงคำสั่งสำหรับการดำเนินการ
อุปกรณ์ฝังนี้มีคุณสมบัติการเข้าถึงเชลล์แบบโต้ตอบและรองรับการอัปโหลด/ดาวน์โหลดไฟล์ อย่างไรก็ตาม เนื่องจากสถานะออฟไลน์ในปัจจุบันของเซิร์ฟเวอร์ Command-and-Control (C2) นักวิเคราะห์จึงยังไม่สามารถระบุขอบเขตทั้งหมดของเพย์โหลดขั้นต่อไปที่เป็นไปได้
ความสัมพันธ์กับผู้ก่อภัยคุกคามอื่น ๆ : EAGLET และ Head Mare
มีหลักฐานบ่งชี้ว่า UNG0901 ไม่ได้ปฏิบัติการอย่างโดดเดี่ยว มีการสังเกตเห็นการปฏิบัติการที่คล้ายคลึงกันซึ่งใช้ EAGLET โดยมีเป้าหมายโจมตีหน่วยงานเพิ่มเติมในภาคการทหารของรัสเซีย ปฏิบัติการเหล่านี้เผยให้เห็นความเชื่อมโยงกับกลุ่มภัยคุกคามอีกกลุ่มหนึ่งที่รู้จักกันในชื่อ Head Mare ซึ่งถูกระบุว่ามุ่งเน้นไปที่องค์กรของรัสเซีย
ตัวบ่งชี้หลักของการทับซ้อน ได้แก่:
- ความคล้ายคลึงกันของโค้ดต้นฉบับระหว่างชุดเครื่องมือ EAGLET และ Head Mare
- ข้อตกลงการตั้งชื่อร่วมกันในไฟล์แนบฟิชชิ่ง
ความคล้ายคลึงกันด้านฟังก์ชันระหว่าง EAGLET และ PhantomDL ซึ่งเป็นแบ็กดอร์ที่ใช้ Go ที่รู้จักกันดีในด้านเชลล์และความสามารถในการถ่ายโอนไฟล์
ประเด็นสำคัญ: สัญญาณเตือนและภัยคุกคามที่คงอยู่
แคมเปญนี้เน้นย้ำถึงความแม่นยำที่เพิ่มขึ้นของปฏิบัติการสเปียร์ฟิชชิง โดยเฉพาะอย่างยิ่งการใช้เหยื่อล่อเฉพาะโดเมน เช่น เอกสาร TTN การใช้เอนทิตีที่ถูกคว่ำบาตรในไฟล์ล่อ ร่วมกับมัลแวร์เฉพาะทางอย่าง EAGLET แสดงให้เห็นถึงแนวโน้มที่เพิ่มขึ้นของแคมเปญจารกรรมแบบเจาะจงเป้าหมายที่มุ่งเป้าไปที่โครงสร้างพื้นฐานที่สำคัญ
ตัวบ่งชี้การประนีประนอมและสัญญาณเตือนที่ต้องระวัง:
- อีเมลที่อ้างอิงเอกสารสินค้าหรือการจัดส่งจากหน่วยงานรัสเซียที่ถูกคว่ำบาตร
- ไฟล์แนบ ZIP ที่น่าสงสัยซึ่งมีไฟล์ LNK ที่ดำเนินการคำสั่ง PowerShell
- การเชื่อมต่อขาออกไปยัง IP ที่ไม่คุ้นเคย
ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ควรตื่นตัวต่อกลวิธีที่เปลี่ยนแปลงไปของผู้ก่อภัยคุกคาม เช่น UNG0901 โดยเฉพาะอย่างยิ่งเมื่อโจมตีกลุ่มที่ละเอียดอ่อนด้วยมัลแวร์ที่ปรับแต่งเองและชุดเครื่องมือที่ทับซ้อนกัน
