La industria rusa aeroespacial y de defensa ha sido atacada por una campaña cibernética que ofrece una puerta trasera llamada Eaglet para promover la delaminación de datos.
Una actividad llamada Operación Cargotalon se asigna a un clúster de amenazas rastreado como UNG0901 (abreviatura del grupo desconocido 901).
«La campaña tiene como objetivo atacar a los empleados de la Asociación de Producción de Aeronaves Voronezh (VASO), una de las principales entidades de producción de aviones de Rusia. Una de las principales entidades de producción de aviones de Rusia es dijo Subhjeet, que es importante para las operaciones logísticas rusas.
El ataque comienza con un correo electrónico de phishing con un señuelo temático de entrega de carga que incluye un archivo de cremallera. Entre ellos se encuentra un archivo de acceso directo de Windows (LNK) que utiliza PowerShell para ver los documentos de Microsoft Excel de Microsoft, e implementa el implante DLL Eaglet al host.
Ver Obltrantterminal, un operador de terminal de contenedores ferroviarios rusos autorizado por el Departamento de Control de Activos Extranjeros (OFAC) del Departamento de Tesoro de los Estados Unidos en febrero de 2024.
Eaglet está diseñado para recopilar información del sistema, establecer una conexión a un servidor remoto codificado («185.225.17 (.) 104») para manejar las respuestas HTTP desde el servidor y extraer comandos que se ejecutan en máquinas de Windows comprometidas.
Aunque el implante admite el acceso de shell y la capacidad de cargar/descargar archivos, se desconoce la naturaleza exacta de la siguiente carga útil de la etapa entregada a través de este método.
Seqrite dijo que descubrió una campaña similar dirigida al sector militar ruso en Eglet, sin mencionar el código fuente, pero también la superposición con otro grupo de amenazas que fue rastreado como Headmare, conocido por apuntar a entidades rusas.
Esto incluye similitudes funcionales entre Eaglet y PhantomDL, Backdoors basadas en GO con capacidades de descarga/carga de shell y archivos, y la similitud del esquema de nomenclatura utilizado para los archivos adjuntos para mensajes de phishing.
Se cree que la divulgación se atribuye a una nueva ola de ataques este mes, un grupo de piratería ruso patrocinado por el estado llamado UAC-0184 (también conocido como Hive0156), que recientemente atacó a las víctimas ucranianas a las víctimas de Renkosratt.
Los actores de amenazas tienen un historial de entrega REMCOS RAT desde principios de 2024, pero la cadena de ataque recientemente descubierta que distribuye malware se ha simplificado y usa archivos LNK o PowerShell de arma para obtener archivos de señuelo y cargadores de secuencia (también conocidos como cargadores IDAT).
«Hive0156 proporciona archivos armados de Microsoft LNK y PowerShell, lo que lleva a la descarga y ejecución de REMCOS RAT», dijo IBM X-Force, y agregó: «Hemos observado documentos de señuelo importantes que se centran en el ejército ucraniano y sugirieron que evolucionará en una audiencia potencial».
Source link
