2025年7月25日Ravie Lakshmananサイバー諜報 / マルウェア
ロシアの航空宇宙および防衛産業が、データの窃取を目的としたEAGLETと呼ばれるバックドアを配布するサイバー諜報キャンペーンの標的となっています。
この活動はCargoTalon作戦と名付けられ、UNG0901(Unknown Group 901の略)として追跡されている脅威クラスターに割り当てられています。
「このキャンペーンは、ロシアの主要な航空機製造企業の一つであるヴォロネジ航空機製造協会(VASO)の従業員を標的としており、ロシアの物流業務に不可欠なтоварно-транспортная накладная(TTN)文書を利用しています」と、Seqrite Labsの研究者Subhajeet Singhaが今週公開した分析で述べています。
攻撃は、貨物配送をテーマにした誘導文を含むスピアフィッシングメールから始まり、その中にはZIPアーカイブが添付されています。アーカイブ内にはWindowsショートカット(LNK)ファイルがあり、PowerShellを利用して偽装されたMicrosoft Excel文書を表示すると同時に、EAGLET DLLインプラントをホストに展開します。
Seqriteによると、この偽装文書はロシアの鉄道コンテナターミナル運営会社であるObltransterminalに言及しており、同社は2024年2月に米国財務省外国資産管理局(OFAC)によって制裁を受けています。
EAGLETはシステム情報を収集し、ハードコードされたリモートサーバー(”185.225.17[.]104″)に接続して、サーバーからのHTTPレスポンスを処理し、侵害されたWindowsマシン上で実行するコマンドを抽出するよう設計されています。
このインプラントはシェルアクセスやファイルのアップロード/ダウンロード機能をサポートしていますが、この方法で配布される次段階のペイロードの正確な内容は不明です。なぜなら、コマンド&コントロール(C2)サーバーは現在オフラインだからです。
Seqriteはまた、EAGLETを用いたロシア軍事部門を標的とした類似のキャンペーンも発見したと述べており、さらに、ロシアの組織を標的とすることで知られる別の脅威クラスターであるHead Mareとの間で、ソースコードや標的の重複も見られるとしています。
これには、EAGLETとPhantomDL(シェルおよびファイルのダウンロード/アップロード機能を持つGoベースのバックドア)との機能的な類似性や、フィッシングメッセージの添付ファイルで使用される命名規則の類似性も含まれます。
この情報公開は、ロシア国家支援型ハッカーグループUAC-0184(別名Hive0156)が、今月に入ってもウクライナの被害者を標的にRemcos RATを使った新たな攻撃を行っているとされる中で明らかになりました。
この脅威アクターは2024年初頭からRemcos RATの配布を続けてきましたが、最近発見されたマルウェア配布の攻撃チェーンは簡略化されており、武器化されたLNKまたはPowerShellファイルを用いて偽装ファイルとHijack Loader(別名IDAT Loader)ペイロードを取得し、その後Remcos RATを起動します。
「Hive0156は武器化されたMicrosoft LNKおよびPowerShellファイルを配布し、Remcos RATのダウンロードと実行につなげています」とIBM X-Forceは述べており、「ウクライナ軍をテーマにした主要な偽装文書が観測されており、今後より広範な対象へと進化する可能性が示唆されています」と付け加えています。
翻訳元: https://thehackernews.com/2025/07/cyber-espionage-campaign-hits-russian.html