Who Let The Dogs Out 🐾Jul 27, 2025

#blue_team #eaglet

Π˜ΡΡΠ»Π΅Π΄ΠΎΠ²Π°Ρ‚Π΅Π»ΠΈ Seqrite Labs раскрыли (https://www.seqrite.com/blog/operation-cargotalon-ung0901-targets-russian-aerospace-defense-sector-using-eaglet-implant/) кампанию ΠΊΠΈΠ±Π΅Ρ€ΡˆΠΏΠΈΠΎΠ½Π°ΠΆΠ° Operation CargoTalon, Π½Π°Ρ†Π΅Π»Π΅Π½Π½ΡƒΡŽ Π½Π° российскиС прСдприятия аэрокосмичСской ΠΈ ΠΎΠ±ΠΎΡ€ΠΎΠ½Π½ΠΎΠΉ отраслСй с использованиСм бэкдора EAGLET.

ВрСдоносная Π°ΠΊΡ‚ΠΈΠ²Π½ΠΎΡΡ‚ΡŒ Π±Ρ‹Π»Π° Π°Ρ‚Ρ€ΠΈΠ±ΡƒΡ‚ΠΈΡ€ΠΎΠ²Π°Π½Π° ΠΊ кластСру ΡƒΠ³Ρ€ΠΎΠ·, отслСТиваСмому ΠΊΠ°ΠΊ UNG0901 (Unknown Group 901).

ЦСлями стали сотрудники ВоронСТского Π°Π²ΠΈΠ°Ρ†ΠΈΠΎΠ½Π½ΠΎΠ³ΠΎ производствСнного объСдинСния, ΠΎΠ΄Π½ΠΎΠ³ΠΎ ΠΈΠ· ΠΊΡ€ΡƒΠΏΠ½Π΅ΠΉΡˆΠΈΡ… прСдприятий ΠΏΠΎ производству самолСтов Π² России.

Π’ Π°Ρ‚Π°ΠΊΠ°Ρ… Π·Π°Π΄Π΅ΠΉΡΡ‚Π²ΠΎΠ²Π°Π»ΠΈΡΡŒ Ρ„ΠΈΡˆΠΈΠ½Π³ΠΎΠ²Ρ‹Π΅ письма с ΠΏΡ€ΠΈΠΌΠ°Π½ΠΊΠ°ΠΌΠΈ Π½Π° Ρ‚Π΅ΠΌΡƒ доставки Π³Ρ€ΡƒΠ·ΠΎΠ² с ZIP-Π°Ρ€Ρ…ΠΈΠ²ΠΎΠΌ, Π²Π½ΡƒΡ‚Ρ€ΠΈ ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠ³ΠΎ находился LNK-Ρ„Π°ΠΉΠ», ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‰ΠΈΠΉ PowerShell для отобраТСния поддСльного Π΄ΠΎΠΊΡƒΠΌΠ΅Π½Ρ‚Π° Microsoft Excel, Π° Ρ‚Π°ΠΊΠΆΠ΅ Π²Π½Π΅Π΄Ρ€ΡΡŽΡ‰ΠΈΠΉ Π½Π° хост Ρ„Π°ΠΉΠ» DLL EAGLET.

Operation Cargotalon: Ung0901 Targets Russian Aerospace Defense Using Eaglet Implant

Discover how threat actors behind Operation Cargotalon (Ung0901) are leveraging the Eaglet implant to infiltrate Russia’s aerospace defense sector. Learn about tactics, indicators of compromise (IOCs), and mitigation strategies.

Blogs on Information Technology, Network & Cybersecurity | Seqrite
Show threadWho Let The Dogs Out 🐾

#blue_team #eaglet

EAGLET Ρ€Π΅Π°Π»ΠΈΠ·ΡƒΠ΅Ρ‚ сбор систСмной ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ ΠΈ устанавливаСт соСдинСния с ТСстко Π·Π°ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠΈΡ€ΠΎΠ²Π°Π½Π½Ρ‹ΠΌ ΡƒΠ΄Π°Π»Π΅Π½Π½Ρ‹ΠΌ сСрвСром (Β«185.225.17[.]104Β»), Π° послС получСния HTTP-ΠΎΡ‚Π²Π΅Ρ‚Π° - выполняСт Π½Π° скомпромСтированной машинС Windows ΠΊΠΎΠΌΠ°Π½Π΄Ρ‹.

EAGLET ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΈΠ²Π°Π΅Ρ‚ доступ ΠΊ ΠΎΠ±ΠΎΠ»ΠΎΡ‡ΠΊΠ΅ ΠΈ Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ Π·Π°Π³Ρ€ΡƒΠ·ΠΊΠΈ/Π²Ρ‹Π³Ρ€ΡƒΠ·ΠΊΠΈ Ρ„Π°ΠΉΠ»ΠΎΠ², состав ΠΏΠΎΠ»Π΅Π·Π½Ρ‹Ρ… Π½Π°Π³Ρ€ΡƒΠ·ΠΎΠΊ ΡΠ»Π΅Π΄ΡƒΡŽΡ‰Π΅Π³ΠΎ этапа нСизвСстСн, сСрвСр C2 ΠΊ ΠΌΠΎΠΌΠ΅Π½Ρ‚Ρƒ исслСдования - Π² Π°Π²Ρ‚ΠΎΠ½ΠΎΠΌΠ½ΠΎΠΌ Ρ€Π΅ΠΆΠΈΠΌΠ΅.

Π˜ΡΡΠ»Π΅Π΄ΠΎΠ²Π°Ρ‚Π΅Π»ΠΈ Seqrite Π·Π°ΡΠ²Π»ΡΡŽΡ‚, Ρ‡Ρ‚ΠΎ Ρ‚Π°ΠΊΠΆΠ΅ ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠΈΠ»ΠΈ схоТиС ΠΊΠ°ΠΌΠΏΠ°Π½ΠΈΠΈ Π² ΠΎΡ‚Π½ΠΎΡˆΠ΅Π½ΠΈΠΈ российского Π’ΠŸΠš с использованиСм EAGLET (Π°Π½Π°Π»ΠΎΠ³ΠΈΡ‡Π½Ρ‹ исходный ΠΊΠΎΠ΄ ΠΈ Ρ†Π΅Π»ΠΈ Ρƒ Head Mare, ΠΏΠΎ сообщСниям исслСдоватСлСй Π›Π°Π±ΠΎΡ€Π°Ρ‚ΠΎΡ€ΠΈΠΈ ΠšΠ°ΡΠΏΠ΅Ρ€ΡΠΊΠΎΠ³ΠΎ).

ΠžΡ‚ΠΌΠ΅Ρ‡Π΅Π½Ρ‹ Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΎΠ½Π°Π»ΡŒΠ½Ρ‹Π΅ ΠΏΠ°Ρ€Π°Π»Π»Π΅Π»ΠΈ ΠΌΠ΅ΠΆΠ΄Ρƒ EAGLET ΠΈ PhantomDL (бэкдор Π½Π° Π±Π°Π·Π΅ Go с ΠΎΠ±ΠΎΠ»ΠΎΡ‡ΠΊΠΎΠΉ ΠΈ Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒΡŽ Π·Π°Π³Ρ€ΡƒΠ·ΠΊΠΈ/Π²Ρ‹Π³Ρ€ΡƒΠ·ΠΊΠΈ Ρ„Π°ΠΉΠ»ΠΎΠ²), Π° Ρ‚Π°ΠΊΠΆΠ΅ сходство Π² Π°Π»Π³ΠΎΡ€ΠΈΡ‚ΠΌΠ΅ Π½Π°ΠΈΠΌΠ΅Π½ΠΎΠ²Π°Π½ΠΈΠΉ, примСняСмой ΠΊ влоТСниям Π² Ρ„ΠΈΡˆΠΈΠ½Π³ΠΎΠ²Ρ‹Ρ… сообщСниях.

Π˜Π½Π΄ΠΈΠΊΠ°Ρ‚ΠΎΡ€Ρ‹ ΠΊΠΎΠΌΠΏΡ€ΠΎΠΌΠ΅Ρ‚Π°Ρ†ΠΈΠΈ ΠΈ тСхничСскиС подробности - Π² ΠΎΡ‚Ρ‡Π΅Ρ‚Π΅ (https://www.seqrite.com/blog/operation-cargotalon-ung0901-targets-russian-aerospace-defense-sector-using-eaglet-implant/) индийской ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΈ.

Operation Cargotalon: Ung0901 Targets Russian Aerospace Defense Using Eaglet Implant

Discover how threat actors behind Operation Cargotalon (Ung0901) are leveraging the Eaglet implant to infiltrate Russia’s aerospace defense sector. Learn about tactics, indicators of compromise (IOCs), and mitigation strategies.

Blogs on Information Technology, Network & Cybersecurity | Seqrite
Jul 27, 2025 at 3:23pmWeb