Las industrias aeroespaciales y de defensa rusas se han convertido en el objetivo de una campaña de espionaje cibernético que ofrece una puerta trasera citación Eaglet para entregar la exfiltración de datos.
La actividad, la operación doblada Cargotalonha sido asignado a un clúster de amenazas rastreado como UNG0901 (Corto para el congregación desconocido 901).
“La campaña tiene como objetivo atacar a los empleados de la Asociación de Producción de Aeronaves Voronezh (VASO), una de las principales entidades de producción de aeronaves en Rusia mediante el uso de тварнict .-
El ataque comienza con un correo electrónico de Spear-Phishing con señuelos con temática de entrega de carga que contienen un archivo zip, interiormente del cual hay un archivo de llegada directo (LNK) de Windows que usa PowerShell para mostrar un documento de Microsoft Excel de Microsoft, al tiempo que despliega el implante DLL Eaglet DLL en el host.
El documento señuelo, per seqrite, hace narración a Obltranserminal, un cirujano de terminal de contenedores ferroviarios rusos que fue sancionado por el Área de Control de Activos Extranjeros (OFAC) de los Estados Unidos en febrero de 2024.
Eaglet está diseñado para compendiar información del sistema y establecer una conexión con un servidor remoto codificado (“185.225.17 (.) 104”) para procesar la respuesta HTTP del servidor y extraer los comandos que se ejecutarán en la máquina Windows comprometida.
El implante admite el llegada de shell y la capacidad de cargar/descargar archivos, aunque se desconoce la naturaleza exacta de las cargas avíos de la próxima etapa entregadas a través de este método, transmitido que el servidor de comando y control (C2) está actualmente fuera de tendencia.
Seqrite dijo que todavía descubrió campañas similares dirigidas al sector marcial ruso con Eaglet, sin mencionar el código fuente y apuntar a superposiciones con otro congregación de amenazas rastreado como jaca principal que se sabe que se dirige a las entidades rusas.
Esto incluye los paralelos funcionales entre Eaglet y PhantomDL, una puerta trasera basada en GO con una función de descarga/carga de shell y archivos, así como las similitudes en el esquema de nombres utilizado para los archivos adjuntos de mensajes de phishing.
La divulgación se produce cuando el congregación de piratería patrocinado por el estado ruso llamado UAC-0184 (todavía conocido como Hive0156) se ha atribuido a una nueva ola de ataque que se dirige a las víctimas en Ucrania con REMCOS RAT tan recientemente como este mes.
Si acertadamente el actor de amenaza tiene un historial de entrega de REMCOS RAT desde principios de 2024, las cadenas de ataque recién manchadas que distribuyen el malware se han simplificado, empleando archivos LNK o PowerShell de PowerShell para recuperar el archivo de señuelo y la carga útil del cargador de secuestro (todavía conocido como el cargador IDAT), que luego venablo REMCOS RAT.
“Hive0156 ofrece archivos armados de Microsoft LNK y PowerShell, lo que lleva a la descarga y ejecución de REMCOS RAT”, dijo IBM X-Force, y agregó que “observó documentos de señuelo esencia que presentan temas que sugieren un enfoque en el ejército ucraniano y evolucionando a un posible divulgado”.
