EAGLET-Backdoor-Malware
Cyberspionage entwickelt sich ständig weiter. Staatlich vernetzte Bedrohungsakteure wenden zunehmend irreführende Taktiken an. Einer der jüngsten Vorfälle betrifft eine aufwendige Kampagne, die darauf abzielte, die russische Luft- und Raumfahrt- sowie Verteidigungsindustrie zu kompromittieren. Dabei wurde eine spezielle Hintertür namens EAGLET für verdeckte Überwachung und Datendiebstahl genutzt.
Inhaltsverzeichnis
Ziel identifiziert: Russische Luft- und Raumfahrt unter Beschuss
Die als Operation CargoTalon bekannte Kampagne wurde einem Bedrohungscluster mit der Bezeichnung UNG0901 (Unknown Group 901) zugeordnet. Diese Gruppe hat es auf die Voronezh Aircraft Production Association (VASO) abgesehen, einen großen russischen Flugzeughersteller. Die Angreifer setzen Spear-Phishing-Taktiken ein und nutzen dabei sogenannte „товарно-транспортная накладная“-Dokumente (TTN), ein für die Logistik innerhalb Russlands wichtiges Frachttransportformular.
So läuft der Angriff ab: Waffengestützte Köder und Einsatz von Malware
Die Infektionskette beginnt mit Spear-Phishing-E-Mails, die gefälschte Inhalte zum Thema Frachtlieferungen enthalten. Diese Nachrichten enthalten ZIP-Archive mit einer Windows-Verknüpfungsdatei (LNK). Bei der Ausführung nutzt die LNK-Datei PowerShell, um ein gefälschtes Microsoft-Excel-Dokument zu starten und gleichzeitig die EAGLET-DLL-Backdoor auf dem infizierten System zu installieren.
Das Lockvogeldokument bezieht sich auf Obltransterminal, einen russischen Betreiber eines Eisenbahncontainerterminals, der im Februar 2024 vom Office of Foreign Assets Control (OFAC) des US-Finanzministeriums sanktioniert wurde – ein Schritt, der dem Lockvogel wahrscheinlich Glaubwürdigkeit und Dringlichkeit verleihen sollte.
Inside EAGLET: Fähigkeiten und C2-Kommunikation
Die EAGLET-Hintertür ist ein verstecktes Implantat, das für die Informationsbeschaffung und den dauerhaften Zugriff entwickelt wurde. Zu ihren Funktionen gehören:
- Sammeln von Systeminformationen
- Verbindung zu einem fest codierten C2-Server mit der IP-Adresse 185.225.17.104
- Analysieren von HTTP-Antworten, um Befehle zur Ausführung abzurufen
Das Implantat bietet interaktiven Shell-Zugriff und unterstützt Datei-Uploads. Da der Command-and-Control-Server (C2) derzeit offline ist, konnten Analysten den vollen Umfang möglicher Nutzlasten der nächsten Stufe jedoch noch nicht ermitteln.
Verbindungen zu anderen Bedrohungsakteuren: EAGLET und Head Mare
Hinweise deuten darauf hin, dass UNG0901 nicht isoliert operiert. Ähnliche Kampagnen mit EAGLET wurden beobachtet, die sich gegen weitere Einheiten im russischen Militärsektor richteten. Diese Operationen offenbaren Verbindungen zu einer anderen Bedrohungsgruppe namens Head Mare, die für ihren Fokus auf russische Organisationen bekannt ist.
Zu den wichtigsten Indikatoren für Überschneidungen zählen:
- Ähnlichkeiten im Quellcode zwischen den Toolsets EAGLET und Head Mare
- Gemeinsame Namenskonventionen in Phishing-Anhängen
Funktionale Ähnlichkeiten zwischen EAGLET und PhantomDL, einer Go-basierten Hintertür, die für ihre Shell- und Dateiübertragungsfunktionen bekannt ist
Wichtige Erkenntnisse: Warnsignale und anhaltende Bedrohungen
Diese Kampagne unterstreicht die zunehmende Präzision von Spear-Phishing-Operationen, insbesondere bei der Verwendung domänenspezifischer Köder wie TTN-Dokumenten. Die Verwendung sanktionierter Entitäten in Lockdateien, kombiniert mit maßgeschneiderter Malware wie EAGLET, verdeutlicht einen wachsenden Trend zu gezielten Spionagekampagnen gegen kritische Infrastrukturen.
Indikatoren für eine Gefährdung und Warnsignale, auf die Sie achten sollten:
- E-Mails mit Verweisen auf Fracht- oder Lieferdokumente von sanktionierten russischen Unternehmen.
- Verdächtige ZIP-Anhänge, die LNK-Dateien enthalten, die PowerShell-Befehle ausführen.
- Ausgehende Verbindungen zu unbekannten IPs.
Cybersicherheitsexperten sollten die sich entwickelnden Taktiken von Bedrohungsakteuren wie UNG0901 im Auge behalten, insbesondere da diese sensible Sektoren mit maßgeschneiderten Malware-Implantaten und sich überschneidenden Toolkits ins Visier nehmen.
