EAGLET Arka Kapı Kötü Amaçlı Yazılımı
Siber casusluk, devlet bağlantılı tehdit aktörlerinin giderek daha aldatıcı taktikler kullanmasıyla gelişmeye devam ediyor. Son olaylardan biri, gizli gözetleme ve veri hırsızlığı için EAGLET adlı özel bir arka kapı kullanan, Rusya'nın havacılık ve savunma sektörlerini tehlikeye atmayı amaçlayan ayrıntılı bir kampanyayı içeriyor.
İçindekiler
Hedef Belirlendi: Rus Havacılık ve Uzay Sanayii Kuşatma Altında
CargoTalon Operasyonu olarak bilinen kampanya, UNG0901 (Bilinmeyen Grup 901) olarak adlandırılan bir tehdit kümesine atfedildi. Bu grup, Rusya'nın önde gelen uçak üretim kuruluşlarından biri olan Voronej Uçak Üretim Birliği'ni (VASO) hedef aldı. Saldırganlar, Rusya içindeki lojistik operasyonları için kritik öneme sahip bir kargo taşıma formu olan 'товарно-транспортная накладная' (TTN) belgelerini kullanan hedefli kimlik avı taktikleri kullanıyor.
Saldırı Nasıl Gerçekleşiyor: Silahlandırılmış Yemler ve Kötü Amaçlı Yazılım Dağıtımı
Enfeksiyon zinciri, sahte kargo teslimatı temalı içerik barındıran hedefli kimlik avı e-postalarıyla başlar. Bu iletiler, bir Windows kısayolu (LNK) dosyası içeren ZIP arşivlerini içerir. LNK dosyası çalıştırıldığında, PowerShell kullanarak sahte bir Microsoft Excel belgesi başlatır ve aynı anda EAGLET DLL arka kapısını ele geçirilen sisteme yükler.
Sahte belgede, Şubat 2024'te ABD Hazine Bakanlığı Yabancı Varlıklar Kontrol Ofisi (OFAC) tarafından yaptırım uygulanan Rus demiryolu konteyner terminali operatörü Obltransterminal'e atıfta bulunuluyor. Bu hamlenin, cazibesine güvenilirlik ve aciliyet katmak amacıyla yapıldığı tahmin ediliyor.
EAGLET’in İçinde: Yetenekler ve C2 İletişimi
EAGLET arka kapısı, istihbarat toplama ve sürekli erişim için tasarlanmış gizli bir implanttır. Özellikleri şunlardır:
- Sistem bilgilerinin toplanması
- 185.225.17.104 IP adresindeki sabit kodlu bir C2 sunucusuna bağlanılıyor
- Çalıştırılacak komutları almak için HTTP yanıtlarını ayrıştırma
İmplant, etkileşimli kabuk erişimi özelliğine sahip ve dosya yükleme/indirme işlemlerini destekliyor. Ancak, Komuta ve Kontrol (C2) sunucusunun mevcut çevrimdışı durumu nedeniyle, analistler olası bir sonraki aşama yüklerinin tam kapsamını belirleyemedi.
Diğer Tehdit Aktörleriyle Bağlantılar: EAGLET ve Baş Kısrak
Bulgular, UNG0901'in tek başına çalışmadığını gösteriyor. EAGLET kullanan benzer saldırıların Rusya'nın askeri sektöründeki diğer birimleri hedef aldığı gözlemlendi. Bu operasyonlar, Rus örgütlerine odaklanmasıyla bilinen Head Mare adlı başka bir tehdit grubuyla bağlantıları ortaya koyuyor.
Çakışmanın temel göstergeleri şunlardır:
- EAGLET ve Head Mare araç setleri arasındaki kaynak kodu benzerlikleri
- Kimlik avı eklerindeki paylaşılan adlandırma kuralları
EAGLET ile kabuk ve dosya aktarım yetenekleriyle bilinen Go tabanlı bir arka kapı olan PhantomDL arasındaki işlevsel benzerlikler
Önemli Çıkarımlar: Uyarı İşaretleri ve Sürekli Tehditler
Bu kampanya, özellikle TTN belgeleri gibi alan adı bazlı tuzaklar kullanan hedef odaklı kimlik avı operasyonlarının artan hassasiyetini vurgulamaktadır. Sahte dosyalarda onaylanmış varlıkların kullanımı ve EAGLET gibi özel kötü amaçlı yazılımların bir araya gelmesi, kritik altyapıları hedef alan yüksek hedefli casusluk kampanyalarında artan bir eğilime işaret etmektedir.
Uzlaşma göstergeleri ve dikkat edilmesi gereken kırmızı bayraklar:
- Yaptırım uygulanan Rus kuruluşlarından kargo veya teslimat belgelerine atıfta bulunan e-postalar.
- PowerShell komutlarını çalıştıran LNK dosyaları içeren şüpheli ZIP ekleri.
- Bilinmeyen IP'lere giden bağlantılar.
Siber güvenlik uzmanları, UNG0901 gibi tehdit aktörlerinin, özellikle hassas sektörleri özelleştirilmiş kötü amaçlı yazılımlar ve örtüşen araç setleriyle hedefledikleri için, gelişen taktiklerine karşı tetikte olmalıdır.
