Cargotalon Operasyonu Rus Havacılık ve Uzay ve Savunma’yı Eaglet İmplantını Dağıtır

Seqrite Labs ‘Apt-Team, önemli bir havacılık varlığı olan Rusya’nın Voronezh Uçak Üretim Derneği’ndeki (VASO) çalışanlarını hedefleyen Cargotalon Operasyonu olarak adlandırılan sofistike bir mızrak-aktı kampanyası ortaya çıkardı.

Operasyon, Rus tedarik zincirleri için kritik olan товарно-рнсортная наклая (TTN) lojistik belgeleri olarak gizlenen kötü niyetli ekleri kullanır.

27 Haziran’da Virustotal Hunting aracılığıyla keşfedilen kampanya, sahte bir ulaşım ve lojistik merkezi adresinden gönderilen Backup-Message-10.2.2.2.20_9045-800282.eml adlı kötü niyetli bir EML dosyası kullanıyor.

Bu e-posta, alıcıları kargo teslimatına hazırlamaya çağırıyor ve MasquaraAdinging’i nakliye_ ledden_tn №391-44_ot_26.06.2025.zip adlı bir zip arşivi olarak ekleyerek çağırıyor.

Eşlik eden, aynı adı taşıyan kötü niyetli bir LNK kısayolu dosyasıdır, bu da PowerShell’i Rundll32.exe üzerinden DLL’yi bulmaya ve yürütmeye çağırarak, bir Decoy XLS dosyasını şüphe etmek için bir Decoy XLS dosyası oluştururken düzenler.

Enfeksiyon zinciri açıklandı

LNK komut dosyası, implant için % userprofile % ve % sıcaklık % dizinleri arar, ofset 296.960’dan başlayarak 59.904 baytlı bir XLS kaplama çıkarır ve onu kurtarır ve inç olarak kaydeder. %Sıcaklık %.

Bu tuzak, konteyner denetim detayları (örneğin, çatlaklar için тз корозия (örneğin, korozyon için т я кина) ve rus askeri-logistenler altındaki rusya altındaki tapınaklarla hizalanan bir ekipman değiştirme raporunu (EIR) taklit eder.

Eaglet olarak adlandırılan çekirdek yük, casusluk odaklı özelliklere sahip C ++ tabanlı bir DLL implantıdır.

Yürütme üzerine, mağdur kimliği için benzersiz bir GUID oluşturur, bilgisayar adını, ana bilgisayar adını ve DNS alanını numaralandırır ve kalıcılık için bir C: \ ProgramData \ MicrosoftAppStore dizini oluşturur.

Eaglet implant özellikleri

Port 80’de cilt kodlu sunucu 185.225.17.104’e bağlanmak için kullanıcı ajanı “MicrosoftAppStore/2001.0” altında maskelenen Winhttpopen ve WinhttpConnect API’leri üzerinden C2 iletişimini kurmak için CreateThead kullanarak iş parçacıklarını ortaya çıkarır.

/Anket gibi yollar için komutlar için anket talep edin? İd =& ana bilgisayar adı =& Domain =yanıtlar uzaktan kabuk yürütme (“CMD:” anahtar kelime aracılığıyla), evreleme dizine dosya indirmeleri ve Base64 ile kodlanmış sonuçlarla /sonucun Post /Sonuç olarak eksfiltrasyon gibi işlevleri tetiklerken (örneğin, ID =& sonuç =).

Altyapı analizi, ASN 39798 (Mivocloud SRL) altında Romanya’daki C2’yi, Pasif DNS’nin TA505’e bağlı geri dönüştürülmüş alanlarla bağları ile ortaya çıkar, ancak altyapı yeniden kullanımının ötesinde doğrudan bir korelasyon yoktur.

Avcılık, ASN 56694 altında C2 188.127.254.44’e bağlanan договор_рн83_изенения.zip gibi tuzaklarla Rus askeri işe alımını hedefleyen benzer kampanyaları ortaya çıkardı.

Head Mare ile örtüşmeler (Kaspersky tarafından izlenir), takım benzerliklerini içerir Eaglet Mirrors PhantomDL’nin kabuğu, indirin ve yükleme özellikleri dosya adlandırma modelleri (örneğin, conts_rn83_changes to client_kh02_523) ve Rus varlıklarını hedefleyen motivasyon.

Böylece, Seqrite, havacılık ve savunma sektörlerine karşı casusluk için kaynakları paylaşan kaynakları paylaşan bir küme olan CARGOTALON Operasyonunu UNG0901’e bağlar. Seqrite’nin AgentCir’i Truva Adı olarak algılar. 49644.sl.

Bu kampanya, Rus kritik altyapısına yönelik artan tehditleri vurgulayarak lolbins, tuzak gömme ve modüler C2 etkileşimleri yoluyla gelişmiş kalıcılığı örneklendiriyor.

Uzlaşma Göstergeleri (IOCS)

Get Free Ultimate SOC Requirements Checklist Before you build, buy, or switch your SOC for 2025 - Download Now