EAGLETバックドアマルウェア
サイバースパイ活動は進化を続けており、国家とつながりのある脅威アクターはますます巧妙な戦術を用いています。最近のインシデントの一つは、ロシアの航空宇宙および防衛部門への侵入を目的とした精巧なキャンペーンで、EAGLETと呼ばれるカスタムバックドアを利用して秘密裏に監視とデータ窃取を行っていました。
目次
標的を特定:ロシアの航空宇宙部門が包囲される
Operation CargoTalonとして知られるこの攻撃は、UNG0901(Unknown Group 901)と名付けられた脅威クラスターによるものとされています。このグループは、ロシアの大手航空機製造企業であるヴォロネジ航空機製造協会(VASO)を標的としています。攻撃者は、ロシア国内の物流業務に不可欠な貨物輸送書類の一種である「товарно-транспортная накладная」(TTN)文書を悪用したスピアフィッシング攻撃を仕掛けています。
攻撃の展開:武器化されたルアーとマルウェアの展開
感染チェーンは、偽の貨物配送をテーマにしたコンテンツを含むスピアフィッシングメールから始まります。これらのメッセージには、Windowsショートカット(LNK)ファイルを格納したZIPアーカイブが含まれています。実行されると、LNKファイルはPowerShellを使用して偽のMicrosoft Excelドキュメントを起動し、同時に侵入したシステムにEAGLET DLLバックドアをインストールします。
このおとり文書は、2024年2月に米国財務省外国資産管理局(OFAC)から制裁を受けたロシアの鉄道コンテナターミナル運営会社、オブリトランスターミナルに言及しており、これはおとり文書に信頼性と緊急性を持たせることを意図したものとみられる。
EAGLETの内部:機能とC2通信
EAGLETバックドアは、情報収集と持続的なアクセスを目的として設計されたステルス性の高いインプラントです。その機能は以下のとおりです。
- システム情報の収集
- IPアドレス185.225.17.104のハードコードされたC2サーバーに接続
- HTTPレスポンスを解析して実行コマンドを取得する
このインプラントは対話型シェルアクセス機能を備え、ファイルのアップロード/ダウンロード操作をサポートしています。しかし、コマンドアンドコントロール(C2)サーバーが現在オフライン状態であるため、アナリストは次段階のペイロードの全容を特定できていません。
他の脅威アクターとのつながり:EAGLETおよびHead Mare
UNG0901が単独で活動しているわけではないことを示す証拠があります。EAGLETを利用した同様のキャンペーンが、ロシアの軍事部門の他の組織を標的としていることが確認されています。これらの活動は、ロシアの組織を標的とすることで知られるHead Mareと呼ばれる別の脅威グループとのつながりを明らかにしています。
重複の主な指標は次のとおりです。
- EAGLETとHead Mareツールセットのソースコードの類似性
- フィッシング添付ファイルの共通の命名規則
EAGLETと、シェルとファイル転送機能で知られるGoベースのバックドアであるPhantomDLの機能的な類似点
重要なポイント: 警告サインと持続的な脅威
このキャンペーンは、スピアフィッシング攻撃、特にTTN文書のようなドメイン固有のルアーを用いた攻撃の精度向上を浮き彫りにしています。おとりファイルにおける制裁対象組織の使用とEAGLETのようなカスタムマルウェアの組み合わせは、重要インフラを狙った高度に標的を絞ったスパイ活動の増加傾向を示しています。
侵害の兆候と注意すべき危険信号:
- 制裁対象のロシアの団体からの貨物または配送書類に言及する電子メール。
- PowerShell コマンドを実行する LNK ファイルを含む疑わしい ZIP 添付ファイル。
- 見慣れない IP への送信接続。
サイバーセキュリティの専門家は、UNG0901 のような脅威アクターの進化する戦術に警戒を怠らないようにする必要があります。特に、彼らはカスタマイズされたマルウェア インプラントや重複するツールキットを使用して機密性の高いセクターを標的にしているためです。
