Logiciel malveillant de porte dérobée EAGLET
Le cyberespionnage continue d'évoluer, les acteurs malveillants liés à l'État employant des tactiques de plus en plus trompeuses. L'un des incidents les plus récents concerne une campagne élaborée visant à compromettre les secteurs aérospatial et de la défense russes, utilisant une porte dérobée personnalisée appelée EAGLET pour la surveillance secrète et le vol de données.
Table des matières
Cible identifiée : l’aérospatiale russe assiégée
La campagne, baptisée Opération CargoTalon, a été attribuée à un groupe de menaces nommé UNG0901 (Groupe inconnu 901). Ce groupe a ciblé l'Association de production aéronautique de Voronej (VASO), un important constructeur aéronautique russe. Les attaquants utilisent des tactiques de spear phishing exploitant les documents « товарно-транспортная накладная » (TTN), un type de formulaire de transport de fret essentiel aux opérations logistiques en Russie.
Déroulement de l’attaque : leurres militarisés et déploiement de logiciels malveillants
La chaîne d'infection commence par des e-mails de spear-phishing contenant du contenu factice sur le thème de la livraison de marchandises. Ces messages contiennent des archives ZIP contenant un fichier de raccourci Windows (LNK). Une fois exécuté, le fichier LNK utilise PowerShell pour lancer un faux document Microsoft Excel tout en installant simultanément la porte dérobée DLL EAGLET sur le système compromis.
Le document leurre fait référence à Obltransterminal, un opérateur de terminal à conteneurs ferroviaire russe sanctionné par l'Office of Foreign Assets Control (OFAC) du Trésor américain en février 2024 - une mesure probablement destinée à ajouter de la crédibilité et de l'urgence à l'appât.
À l’intérieur d’EAGLET : capacités et communication C2
La porte dérobée EAGLET est un implant furtif conçu pour la collecte de renseignements et l'accès permanent. Ses fonctionnalités incluent :
- Collecte d'informations système
- Connexion à un serveur C2 codé en dur à l'adresse IP 185.225.17.104
- Analyse des réponses HTTP pour récupérer les commandes à exécuter
L'implant dispose d'un accès interactif au shell et prend en charge les opérations de téléchargement/chargement de fichiers. Cependant, en raison de l'état hors ligne actuel du serveur de commande et de contrôle (C2), les analystes n'ont pas pu déterminer l'étendue des charges utiles potentielles de la prochaine étape.
Liens avec d’autres acteurs menaçants : EAGLET et Head Mare
Les éléments suggèrent que l'UNG0901 n'agit pas de manière isolée. Des campagnes similaires utilisant EAGLET ont été observées ciblant d'autres entités du secteur militaire russe. Ces opérations révèlent des liens avec un autre groupe de menace connu sous le nom de Head Mare, connu pour sa concentration sur les organisations russes.
Les principaux indicateurs de chevauchement comprennent :
- Similitudes du code source entre les ensembles d'outils EAGLET et Head Mare
- Conventions de dénomination partagées dans les pièces jointes de phishing
Ressemblances fonctionnelles entre EAGLET et PhantomDL, une porte dérobée basée sur Go connue pour ses capacités de shell et de transfert de fichiers
Points clés à retenir : signes avant-coureurs et menaces persistantes
Cette campagne met en évidence la précision croissante des opérations de spear-phishing, notamment celles utilisant des leurres spécifiques à un domaine, tels que les documents TTN. L'utilisation d'entités sanctionnées dans des fichiers leurres, combinée à des logiciels malveillants personnalisés comme EAGLET, illustre une tendance croissante aux campagnes d'espionnage hautement ciblées visant les infrastructures critiques.
Indicateurs de compromission et signaux d’alarme à surveiller :
- Courriels faisant référence à des documents de fret ou de livraison provenant d'entités russes sanctionnées.
- Pièces jointes ZIP suspectes contenant des fichiers LNK qui exécutent des commandes PowerShell.
- Connexions sortantes vers des adresses IP inconnues.
Les professionnels de la cybersécurité doivent rester attentifs à l’évolution des tactiques des acteurs de la menace comme UNG0901, en particulier lorsqu’ils ciblent des secteurs sensibles avec des implants de logiciels malveillants personnalisés et des boîtes à outils qui se chevauchent.
