Rus havacılık ve savunma endüstrileri, veri açığa çıkmasını kolaylaştırmak için Eaglet adlı bir arka kapı sunan bir siber casusluk kampanyasının hedefi haline geldi.
Aktivite, operasyon olarak adlandırılan Kargotalonizlenen bir tehdit kümesine atandı Ung0901 (Bilinmeyen Grup 901 için kısa).
“Kampanya, Rusya’daki büyük uçak üretim kuruluşlarından biri olan Voronezh Uçak Üretim Derneği (VASO) çalışanlarını hedeflemeyi hedeflemeyi hedeflemeyi hedeflemeyi hedeflemeyi hedeflemeyi hedeflemeyi hedeflemeyi hedefliyor накадная (TTN) belgeleri-Rusya Labs lojistik operasyonları için kritikti.
Saldırı, içinde bir tuzak Microsoft Excel belgesini görüntülemek için PowerShell kullanan bir Windows kısayolu (LNK) dosyası olan bir zip arşivi içeren bir mızrak aktı e-posta rulman kargo dağıtım temalı yemlerle başlar ve aynı zamanda ana bilgisayar üzerine Eaglet DLL implantını dağıtır.
Secoy belgesi, Seqrite başına, ABD Hazine Dış Varlıklar Kontrolü (OFAC) tarafından Şubat 2024’te onaylanan bir Rus Demiryolu Konteyneri Terminal operatörü olan Obtransterminal’e referans veriyor.
Eaglet, sistem bilgilerini toplamak ve sabit kodlu bir uzak sunucuya bağlantı kurmak için tasarlanmıştır (“185.225.17[.]104 “) HTTP yanıtını sunucudan işlemek ve tehlikeye atılan Windows makinesinde yürütülecek komutları çıkarmak için.
İmplant, komut ve kontrol (C2) sunucusunun şu anda çevrimdışı olduğu göz önüne alındığında, bu yöntem aracılığıyla teslim edilen sonraki aşamalı yüklerin kesin doğası bilinmemekle birlikte, kabuk erişimini ve dosyaları yükleme/indirme yeteneğini destekler.
Seqrite, Rus askeri sektörünü Eaglet ile hedefleyen benzer kampanyaları da ortaya çıkardığını, kaynak kodundan bahsetmemek ve Rus varlıklarını hedeflediği bilinen Head Mare olarak izlenen başka bir tehdit kümesiyle örtüşmeyi hedeflemenin ortaya çıkardığını söyledi.
Bu, kabuk ve dosya indirme/yükleme özelliğine sahip GO tabanlı bir arka kapı olan Eaglet ve PhantomDL arasındaki fonksiyonel paralelliklerin yanı sıra kimlik avı mesaj ekleri için kullanılan adlandırma şemasındaki benzerlikleri içerir.
Açıklama, UAC-0184 (AKA HIVE0156) adlı Rus devlet destekli hack grubunun, bu aya kadar Remcos Rat ile Ukrayna’da yeni bir saldırı dalgası hedefleme kurbanlarına atfedildiği için geliyor.
Tehdit oyuncusu, 2024’ün başından beri Remcos Rat’ı teslim etme geçmişine sahip olsa da, kötü amaçlı yazılımları dağıtan yeni tespit edilen saldırı zincirleri basitleştirildi, tuzak dosyasını ve daha sonra Remcos Rat’ı piyasaya süren Hızla yükleyici (aka Idat Loader) yükünü almak için silahlandırılmış LNK veya PowerShell dosyaları kullanıyor.
IBM X-Force, “HIVE0156, Remcos Rat’ın indirilmesine ve yürütülmesine yol açan silahlı Microsoft LNK ve PowerShell dosyaları sunar.” Dedi.