صنایع هوافضا و دفاعی روسیه هدف یک کمپین جاسوسی

به گزارش کارگروه حملات سایبری سایبربان؛ صنایع هوافضا و دفاعی روسیه هدف یک کمپین جاسوسی سایبری قرار گرفته‌اند که یک در پشتی به نام «EAGLET» را برای تسهیل استخراج داده‌ها ارائه می‌دهد.

این فعالیت که عملیات «CargoTalon» نام دارد، به یک خوشه تهدید با نام « UNG0901»، مخفف گروه ناشناخته ۹۰۱، اختصاص داده شده است.

سبحاجیت سینگا (Subhajeet Singha)، محقق «Seqrite Labs»، در تحلیلی اعلام کرد:

«این کمپین برای هدف قرار دادن کارمندان انجمن تولید هواپیما وُرُونژ (VASO)، یکی از نهادهای اصلی تولید هواپیما در روسیه، از طریق استفاده از اسنادтоварно-транспортная накладная  (TTN)، که برای عملیات‌های لجستیکی روسیه حیاتی هستند، انجام می‌شود.»

این حمله با یک ایمیل فیشینگ هدفمند با مضمون تحویل بار آغاز می‌شود که حاوی یک آرشیو زیپ است که در آن یک فایل میانبر ویندوز (LNK) وجود دارد که از پاورشِل (PowerShell) برای نمایش یک سند اکسل جعلی استفاده و در عین حال ایمپلنت EAGLET DLL را روی میزبان مستقر می‌کند.

طبق گفته Seqrite، این سند جعلی به «Obltransterminal»، یک اپراتور ترمینال کانتینر راه‌آهن روسیه اشاره دارد که در فوریه 2024 توسط دفتر کنترل دارایی‌های خارجی وزارت خزانه‌داری ایالات متحده (OFAC) تحریم شد.

EAGLET برای جمع‌آوری اطلاعات سیستم و برقراری ارتباط با یک سرور از راه دور کدگذاری شده طراحی شده تا پاسخ HTTP را از سرور پردازش و دستوراتی را استخراج کند که باید در دستگاه ویندوزی آسیب‌دیده اجرا شوند.

این ایمپلنت از دسترسی به پوسته و قابلیت آپلود/دانلود فایل‌ها پشتیبانی می‌کند، اگرچه ماهیت دقیق بارهای داده مرحله بعدی که از طریق این روش ارسال می‌شوند، ناشناخته است، زیرا سرور فرماندهی و کنترل (C2) در حال حاضر آفلاین است. Seqrite عنوان کرد که کمپین‌های مشابهی را نیز کشف کرده که بخش نظامی روسیه را با EAGLET هدف قرار می‌دهند و کد منبع و هدف‌گیری آنها با خوشه تهدید دیگری به نام «Head Mare» همپوشانی دارد که به هدف قرار دادن نهادهای روسی معروف است؛ این شامل شباهت‌های عملکردی بین EAGLET و «PhantomDL»، یک در پشتی مبتنی بر «Go» با قابلیت دانلود/آپلود پوسته و فایل و همچنین شباهت‌ها در طرح نامگذاری مورد استفاده برای پیوست‌های پیام فیشینگ است.

این افشاگری در حالی صورت گرفت که گروه هکری تحت حمایت دولت روسیه به نام «UAC-0184»، معروف به«Hive0156»، به موج حمله جدیدی نسبت داده شده که قربانیان اوکراینی را با «Remcos RAT» در همین ماه هدف قرار داده است.

در‌حالیکه این عامل تهدید از اوایل سال 2024 سابقه ارائه Remcos RAT را دارد، زنجیره‌های حمله تازه کشف شده که این بدافزار را توزیع می‌کنند، ساده شده‌اند و از فایل‌های «LNK» یا پاورشِل مسلح برای بازیابی فایل طعمه و بار داده «Hijack Loader»، معروف به «IDAT Loader»، استفاده می‌کنند که سپس Remcos RAT را اجرا می‌کند. شرکت آی‌بی‌ام گفت:

«Hive0156 فایل‌های مایکروسافت LNK و پاورشِل مسلح‌شده را ارائه می‌دهد که منجر به دانلود و اجرای Remcos RAT می‌شود. اسناد کلیدی جعلی مشاهده شده که دارای مضامینی هستند که نشان می‌دهد تمرکز بر ارتش اوکراین است و به مخاطبان بالقوه وسیع‌تری در حال تکامل است.»