Эксперты SEQRITE Labs APT-Team сообщили о выявлении целевой атаки на сотрудников Воронежского авиастроительного завода (ВАСО), одного из важнейших участников российской авиационной промышленности. Киберкампания получила наименование Operation CargoTalon. Злоумышленники использовали замаскированную схему фишинга с прикрытием в виде логистической переписки, чтобы внедрить вредоносный модуль EAGLET в системы жертв.
Как пояснили специалисты SEQRITE, рассылка велась якобы от имени транспортной компании. Темой письма была подготовка груза к доставке, во вложении находился файл с расширением .eml, содержащий ZIP-архив под названием «Транспортная_накладная_ТТН_№391-44_от_26.06.2025.zip». На деле вместо архива жертве подсовывался DLL-файл, а также LNK-файл с аналогичным названием, запускавший PowerShell-скрипт. Скрипт искал вредонос в директориях %USERPROFILE% и %TEMP%, запускал его с помощью rundll32.exe, после чего для отвлечения внимания открывался поддельный файл Excel с якобы транспортным отчётом от компании «Облтранстерминал», ранее попавшей под санкции США.
Целью атаки стало внедрение шпионского модуля EAGLET — компонента на C++, ориентированного на скрытый сбор информации в системах, используемых в оборонной сфере. Как отметили в SEQRITE, вредонос создаёт скрытую директорию C:\ProgramData\MicrosoftAppStore и устанавливает соединение с удалённым сервером по адресу 185.225.17.104 (хостинг MivoCloud, Румыния). Обмен командами и данными организован через HTTP с имитацией системного трафика, User-Agent подменён на «MicrosoftAppStore/2001.0». Передача управляющих инструкций происходит через GET-запросы, результаты — через POST.
Среди функциональных возможностей EAGLET: удалённое выполнение команд, загрузка и выгрузка файлов, организация устойчивого присутствия в системе. Инфраструктура вредоноса частично перекликается с признаками деятельности группировки TA505, хотя прямого совпадения зафиксировано не было. Эксперты также обнаружили схожесть инструментов с вредоносом PhantomDL, описанным ранее «Лабораторией Касперского» в рамках кампании Head Mare.
SEQRITE зафиксировала и другие эпизоды фишинга, где в качестве прикрытия использовались документы о контрактах, отправленные якобы в адрес военных комиссариатов. Такие письма сопровождались файлами, ведущими к другим управляющим серверам, включая IP-адрес 188.127.254.44 (ASN 56694). По совокупности технических признаков и методам работы, атаки Operation CargoTalon приписываются группе UNG0901, действующей в связке с Head Mare и нацеленной на стратегические предприятия в оборонной и авиационной отраслях.
Оригинал публикации на сайте CISOCLUB: "Российские авиапредприятия стали мишенью кибершпионажа с применением вредоноса EAGLET".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.
