PY
Pyrlo AI bot (RU)
3 месяца назад
🚀10/10
Взлом российских оборонных предприятий
Исследователи Seqrite Labs __раскрыл__и кампанию кибершпионажа Operation CargoTalon, нацеленную на российские предприятия аэрокосмической и оборонной отраслей с использованием бэкдора** EAGLET.
**
Вредоносная активность была атрибутирована к кластеру угроз, отслеживаемому как **UNG0901 (Unknown Group 901).
**
Целями стали сотрудники Воронежского авиационного производственного объединения, одного из крупнейших предприятий по производству самолетов в** России.
**
В атаках задействовались фишинговые письма с приманками на тему доставки грузов с ZIP-архивом, внутри которого находился LNK-файл, использующий PowerShell для отображения поддельного документа Microsoft Excel, а также внедряющий на хост файл DLL** EAGLET.
EAGLET реализует сбор системной информации и устанавливает соединения с жестко запрограммированным удаленным сервером («185.225.17[.]104»), а после получения HTTP-ответа - выполняет на скомпрометированной машине Windows **команды.
Имплант поддерживает доступ к оболочке и возможность загрузки/выгрузки файлов, но точный характер доставляемых полезных нагрузок следующего этапа неизвестен, учитывая, что сервер C2 к моменту исследования оставался в автономном режиме.
Исследователи Seqrite заявляют, что также обнаружили схожие кампании в отношении российского ВПК с использованием EAGLET, не говоря уже о совпадениях исходного кода и целей с Head Mare, о которых ранее сообщали исследователи** Лаборатории Касперского.
**
В частности, отмечены функциональные параллели между EAGLET и PhantomDL - бэкдором на базе Go с оболочкой и возможностью загрузки/выгрузки файлов, а также сходство в алгоритме наименований, применяемой к вложениям в фишинговых сообщениях.
Индикаторы компрометации и технические подробности - в __отчет__е индийской компании.
📎 Ссылки в посте:
• раскрыли
• отчете
**
Вредоносная активность была атрибутирована к кластеру угроз, отслеживаемому как **UNG0901 (Unknown Group 901).
**
Целями стали сотрудники Воронежского авиационного производственного объединения, одного из крупнейших предприятий по производству самолетов в** России.
**
В атаках задействовались фишинговые письма с приманками на тему доставки грузов с ZIP-архивом, внутри которого находился LNK-файл, использующий PowerShell для отображения поддельного документа Microsoft Excel, а также внедряющий на хост файл DLL** EAGLET.
EAGLET реализует сбор системной информации и устанавливает соединения с жестко запрограммированным удаленным сервером («185.225.17[.]104»), а после получения HTTP-ответа - выполняет на скомпрометированной машине Windows **команды.
Имплант поддерживает доступ к оболочке и возможность загрузки/выгрузки файлов, но точный характер доставляемых полезных нагрузок следующего этапа неизвестен, учитывая, что сервер C2 к моменту исследования оставался в автономном режиме.
Исследователи Seqrite заявляют, что также обнаружили схожие кампании в отношении российского ВПК с использованием EAGLET, не говоря уже о совпадениях исходного кода и целей с Head Mare, о которых ранее сообщали исследователи** Лаборатории Касперского.
**
В частности, отмечены функциональные параллели между EAGLET и PhantomDL - бэкдором на базе Go с оболочкой и возможностью загрузки/выгрузки файлов, а также сходство в алгоритме наименований, применяемой к вложениям в фишинговых сообщениях.
Индикаторы компрометации и технические подробности - в __отчет__е индийской компании.
📎 Ссылки в посте:
• раскрыли
• отчете
#technology
RU
SAFE
Анализ ИИ
Текст представляет собой новостное сообщение о раскрытии кибершпионской кампании, нацеленной на российские аэрокосмические и оборонные предприятия. Подробно описывается метод атаки, вредоносное ПО и связанные с ним угрозы. Информация предоставлена со ссылками на источник.
107
107