EAGLET後門惡意軟體

網路間諜活動不斷演變，與政府相關的威脅行為者所使用的欺騙性手段日益增多。最近的一起事件涉及一場精心策劃的攻擊活動，旨在入侵俄羅斯的航空航天和國防部門，利用名為 EAGLET 的定制後門進行秘密監視和數據竊取。

目標已確定：俄羅斯航空航太產業遭圍攻

這次名為「CargoTalon行動」的攻擊活動已被歸咎於一個名為UNG0901（未知組織901）的威脅集群。該組織將目標鎖定在俄羅斯一家大型飛機製造企業—沃羅涅日飛機生產協會（VASO）。攻擊者採用魚叉式網路釣魚策略，利用「товарно-транспортная накладная」（TTN）文件，這是對俄羅斯境內物流運作至關重要的貨物運輸單據。

攻擊如何展開：武器化誘餌與惡意軟體部署

感染鏈始於包含虛假貨物運輸主題內容的魚叉式網路釣魚電子郵件。這些郵件包含一個包含 Windows 捷徑 (LNK) 檔案的 ZIP 壓縮包。執行後，LNK 文件會使用 PowerShell 啟動一個誘餌 Microsoft Excel 文檔，同時在受感染系統上安裝 EAGLET DLL 後門。

誘餌文件提到了 Obltransterminal，這是一家俄羅斯鐵路貨櫃碼頭營運商，於 2024 年 2 月受到美國財政部外國資產管制辦公室 (OFAC) 的製裁——此舉可能是為了增加誘餌的可信度和緊迫性。

EAGLET 內部：功能和 C2 通信

EAGLET 後門是一種隱蔽植入物，旨在收集情報並實現持續訪問。其功能包括：

• 收集系統資訊
• 連接到 IP 位址為 185.225.17.104 的硬編碼 C2 伺服器
• 解析 HTTP 回應以檢索要執行的命令

此植入程式具有互動式shell存取功能，並支援檔案上傳/下載操作。然而，由於命令與控制（C2）伺服器目前處於離線狀態，分析人員尚無法確定下一階段可能的有效載荷的全部範圍。

與其他威脅行為者的聯繫：EAGLET 和 Head Mare

有證據表明，UNG0901 並非孤立行動。類似的部署 EAGLET 的活動已被觀察到針對俄羅斯軍事部門的其他實體。這些行動揭示了與另一個名為 Head Mare 的威脅組織存在關聯，該組織以俄羅斯組織為目標。

重疊的關鍵指標包括：

• EAGLET 與 Head Mare 工具集之間的原始碼相似性
• 網路釣魚附件中的共享命名約定

EAGLET 與 PhantomDL 功能相似，後者是基於 Go 的後門，以其 shell 和檔案傳輸功能而聞名

關鍵要點：警告信號和持續威脅

這次攻擊活動凸顯了魚叉式網路釣魚攻擊的精準度不斷提升，尤其是那些使用特定網域誘餌（例如 TTN 文件）的攻擊。誘餌檔案中使用受制裁實體，並結合 EAGLET 等自訂惡意軟體，顯示針對關鍵基礎設施的高度針對性間諜活動日益增多。

需要注意的妥協指標和危險訊號：

• 提及受制裁的俄羅斯實體的貨物或交貨文件的電子郵件。
• 可疑的 ZIP 附件包含執行 PowerShell 指令的 LNK 檔案。
• 到陌生 IP 的出站連線。

網路安全專業人員應保持警惕，並警惕 UNG0901 等威脅行為者不斷演變的策略，尤其是當他們使用客製化的惡意軟體植入和重疊的工具包瞄準敏感產業時。