كشفت تقارير أمنية عن حملة تجسس إلكتروني واسعة النطاق استهدفت صناعات الفضاء والدفاع الروسية، باستخدام برمجية خبيثة متقدمة تُعرف باسم EAGLET في عملية أُطلق عليها اسم “كارجو تالون” (Cargo Talon).
ووفقًا لتحليل نشره الباحث سوبهاجيت سينغها من شركة الأمن السيبراني Seqrite، فإن الهجمات ركزت على استهداف موظفي جمعية فورونيج لإنتاج الطائرات (VASO) إحدى كبرى شركات صناعة الطائرات في روسيا عبر رسائل بريد إلكتروني احتيالية تحتوي على مستندات لوجستية مزيّفة.
وأشار التقرير إلى أن الهجوم يبدأ بإرسال أرشيفات مضغوطة (ZIP) تضم ملفات اختصار (LNK) تعمل على تفعيل سكريبتات PowerShell خبيثة تقوم بدورها بعرض مستند Excel وهمي ينتمي لشركة Obltransterminal الخاضعة لعقوبات أمريكية منذ فبراير 2024 بينما تُزرَع في الخلفية برمجية EAGLET على جهاز الضحية.
وتعمل البرمجية الخبيثة على جمع معلومات النظام المصاب وإنشاء اتصال مع خادم قيادة وتحكم (C2) خارجي عبر عنوان IP محدد، ما يتيح للمهاجمين تنفيذ أوامر عن بُعد وتحميل وتنزيل الملفات من الأنظمة المستهدفة.
وأوضحت شركة Seqrite أن هذه الحملة ترتبط بمجموعة تهديدات سيبرانية مجهولة تُعرف باسم UNG0901 والتي أظهرت تداخلات في أسلوب الاستهداف مع مجموعة تهديدات أخرى تُسمى Head Mare المتخصصة في مهاجمة كيانات روسية.
كما كشفت Seqrite عن أوجه تشابه بين برمجية EAGLET وبرمجية PhantomDL في البنية البرمجية والقدرات الوظيفية، إلى جانب الأسلوب المُتّبع في تسمية مرفقات رسائل التصيّد الاحتيالي.
يأتي هذا الهجوم في وقت تشهد فيه روسيا موجة متزايدة من العمليات السيبرانية المعقّدة حيث نُسبت مؤخرا إلى مجموعة قرصنة روسية مدعومة من الدولة تُعرف باسم UAC-0184 (Hive0156)) هجمات إلكترونية استهدفت أوكرانيا باستخدام برمجية Remcos RAT.
وتُشير التقارير إلى أن الجهة الفاعلة قامت بتبسيط سلاسل العدوى عبر استخدام ملفات LNK وأوامر PowerShell لاسترجاع حمولات خبيثة مثل Hijack Loader والتي تعمل على تشغيل Remcos RAT في الأنظمة المصابة.
Web Desk
