De Russische ruimtevaart- en defensie -industrie zijn het doelwit geworden van een cyberspionage -campagne die een achterdeur met de naam Eaglet levert om gegevens -exfiltratie te vergemakkelijken.
De activiteit, nagesynchroniseerde werking Kargotalonis toegewezen aan een bedreigingscluster gevolgd als UNG0901 (Kort voor onbekende groep 901).
“De campagne is gericht op het richten op werknemers van Voronezh Aircraft Production Association (VASO), een van de belangrijkste vliegtuigproductie-entiteiten in Rusland via het gebruik van товарно-трансuiken singha Singha Singha Singha Singha Singha Singha Singha Singha Singha deze week.
De aanval begint met een speer-phishing e-mail met vrachtaflevering met vrachtaflevering die een zip-archief bevatten, waarbinnen een Windows Sortcut (LNK) -bestand is dat PowerShell gebruikt om een Decoy Microsoft Excel-document weer te geven, terwijl het ook de Eaglet DLL-implementatie op de gastheer implementeert.
Het Decoy -document, per seqrite, referenties OblTransterminal, een Russische spoorwegcontainer -terminaloperator die werd bestraft door het Amerikaanse ministerie van het kantoor van de Treasury of Foreign Assets Control (OFAC) in februari 2024.
Eaglet is ontworpen om systeeminformatie te verzamelen en een verbinding tot stand te brengen met een hard gecodeerde externe server (“185.225.17 (.) 104”) om de HTTP-reactie van de server te verwerken en de opdrachten uit te pakken die op de gecompromitteerde Windows-machine worden uitgevoerd.
Het implantaat ondersteunt shell-toegang en de mogelijkheid om bestanden te uploaden/downloaden, hoewel de exacte aard van de volgende fase payloads die via deze methode worden geleverd onbekend is, aangezien de opdracht-en-control (C2) server momenteel offline is.
Seqrite zei dat het ook soortgelijke campagnes ontdekte die gericht zijn op de Russische militaire sector met Eaglet, en niet te vergeten broncode en het richten van overlappingen met een ander bedreigingscluster gevolgd als hoofdmarkt waarvan bekend is dat ze zich richt op Russische entiteiten.
Dit omvat de functionele parallellen tussen Eaglet en Phantomdl, een GO-gebaseerde achterdeur met een shell en bestandsdownload/uploadfunctie, evenals de overeenkomsten in het naamgevingsschema dat wordt gebruikt voor de phishing-berichtbijlagen.
De openbaarmaking komt als de Russische door de staat gesponsorde hackgroep genaamd UAC-0184 (AKA Hive0156) is toegeschreven aan een nieuwe aanvalsgolf gericht op slachtoffers in Oekraïne met Remcos Rat zo recent als deze maand.
Terwijl de dreigingsacteur een geschiedenis heeft van het leveren van Remcos Rat sinds begin 2024, zijn nieuw gevlekte aanvalsketens die de malware verspreiden, vereenvoudigd, met behulp van bewapende LNK- of PowerShell -bestanden om het Decoy -bestand op te halen en de kapellader (aka idat loader) payload, die vervolgens REMCOS -rat lanceert.
“HIVE0156 levert bewapende Microsoft LNK- en PowerShell-bestanden, wat leidt tot de download en uitvoering van Remcos Rat,” zei IBM X-Force, die het toevoegt “, waargenomen belangrijke Decoy-documenten met thema’s die een focus op het Oekraïense leger en evolueren naar een potentieel breder publiek.”
