📰 Informação fresquinha chegando para você!
Sua opinião é importante: leia e participe!
Apoie o projeto e divulgue suas redes! Clique aqui
As indústrias aeroespaciais e de defesa russas se tornaram alvo de uma campanha de espionagem cibernética que oferece um backdoor chamado Eaglet para facilitar a exfiltração de dados.
A atividade, apelidada de Operação Cargotalon, foi atribuída a um cluster de ameaças rastreado como UNG0901 (abreviação do grupo desconhecido 901).
"A campanha visa direcionar funcionários da Voronezh Aircraft Production Association (VASO), uma das principais entidades de produção de aeronaves na Rússia usando o то аарно-рран col da singistics de mamão.
O ataque começa com um e-mail de phishing de lança com as iscas com tema de entrega de carga que contêm um arquivo zip, dentro do qual há um arquivo de atalho do Windows (LNK) que usa o PowerShell para exibir um documento do Microsoft Excel do Microsoft, além de implantar o implante de DLL do EAGLET no host.
O documento do engodo, por seqrite, referências Obrignserminal, um operador de terminal de contêiner ferroviário russo que foi sancionado pelo Departamento de Controle de Ativos Estrangeiros do Departamento de Tesouro dos EUA em fevereiro de 2024.
O EAGLET foi projetado para reunir informações do sistema e estabelecer uma conexão com um servidor remoto codificado ("185.225.17 [.] 104") para processar a resposta HTTP do servidor e extrair os comandos a serem executados na máquina Windows comprometida.
O implante suporta acesso do Shell e a capacidade de fazer upload/download de arquivos, embora a natureza exata das cargas úteis do próximo estágio fornecida através deste método seja desconhecida, já que o servidor de comando e controle (C2) está atualmente offline.
A Seqrite disse que também descobriu campanhas semelhantes direcionadas ao setor militar russo com Eaglet, sem mencionar o código -fonte e segmentar sobreposições com outro cluster de ameaças rastreado como é égua de cabeça que é conhecido por segmentar entidades russas.
Isso inclui os paralelos funcionais entre o Eaglet e o Phantomdl, um backdoor baseado em GO com um recurso de download/upload de shell e arquivo, bem como as semelhanças no esquema de nomeação usado para os anexos de mensagens de phishing.
A divulgação ocorre quando o grupo de hackers patrocinado pelo Estado Russo chamado UAC-0184 (também conhecido como Hive0156) foi atribuído a uma nova onda de ataque direcionada às vítimas na Ucrânia com Remcos Rat em tão recentemente neste mês.
Enquanto o ator de ameaças tem um histórico de entrega de ratos RemCos desde o início de 2024, foram simplificadas cadeias de ataques que distribuem o malware, empregando arquivos LNK ou PowerShell armas para recuperar o arquivo de engodo e o carregador de seqüestro (também conhecido como carregador de idat), que inicia os remescos.
"O Hive0156 fornece arquivos Microsoft LNK e PowerShell armados, levando ao download e execução de RemCos Rat", disse o IBM X-Force, acrescentando "observou documentos-chave com temas que sugerem um foco nas forças armadas ucranianas e evoluindo para um público mais amplo".
A atividade, apelidada de Operação Cargotalon, foi atribuída a um cluster de ameaças rastreado como UNG0901 (abreviação do grupo desconhecido 901).
"A campanha visa direcionar funcionários da Voronezh Aircraft Production Association (VASO), uma das principais entidades de produção de aeronaves na Rússia usando o то аарно-рран col da singistics de mamão.
O ataque começa com um e-mail de phishing de lança com as iscas com tema de entrega de carga que contêm um arquivo zip, dentro do qual há um arquivo de atalho do Windows (LNK) que usa o PowerShell para exibir um documento do Microsoft Excel do Microsoft, além de implantar o implante de DLL do EAGLET no host.
O documento do engodo, por seqrite, referências Obrignserminal, um operador de terminal de contêiner ferroviário russo que foi sancionado pelo Departamento de Controle de Ativos Estrangeiros do Departamento de Tesouro dos EUA em fevereiro de 2024.
O EAGLET foi projetado para reunir informações do sistema e estabelecer uma conexão com um servidor remoto codificado ("185.225.17 [.] 104") para processar a resposta HTTP do servidor e extrair os comandos a serem executados na máquina Windows comprometida.
O implante suporta acesso do Shell e a capacidade de fazer upload/download de arquivos, embora a natureza exata das cargas úteis do próximo estágio fornecida através deste método seja desconhecida, já que o servidor de comando e controle (C2) está atualmente offline.
A Seqrite disse que também descobriu campanhas semelhantes direcionadas ao setor militar russo com Eaglet, sem mencionar o código -fonte e segmentar sobreposições com outro cluster de ameaças rastreado como é égua de cabeça que é conhecido por segmentar entidades russas.
Isso inclui os paralelos funcionais entre o Eaglet e o Phantomdl, um backdoor baseado em GO com um recurso de download/upload de shell e arquivo, bem como as semelhanças no esquema de nomeação usado para os anexos de mensagens de phishing.
A divulgação ocorre quando o grupo de hackers patrocinado pelo Estado Russo chamado UAC-0184 (também conhecido como Hive0156) foi atribuído a uma nova onda de ataque direcionada às vítimas na Ucrânia com Remcos Rat em tão recentemente neste mês.
Enquanto o ator de ameaças tem um histórico de entrega de ratos RemCos desde o início de 2024, foram simplificadas cadeias de ataques que distribuem o malware, empregando arquivos LNK ou PowerShell armas para recuperar o arquivo de engodo e o carregador de seqüestro (também conhecido como carregador de idat), que inicia os remescos.
"O Hive0156 fornece arquivos Microsoft LNK e PowerShell armados, levando ao download e execução de RemCos Rat", disse o IBM X-Force, acrescentando "observou documentos-chave com temas que sugerem um foco nas forças armadas ucranianas e evoluindo para um público mais amplo".
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #campanha #de #espionagem #cibernética #atinge #o #setor #aeroespacial #russo #usando #o #eaglet #backdoor
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário