Кибератака на авиазавод через файл Excel

Хакеры использовали изощренную схему с поддельными транспортными накладными в формате Excel, чтобы внедрить вредоносное ПО в корпоративную сеть предприятия.

Атака, получившая название CargoTalon, могла привести к утечке критически важных данных, но была вовремя выявлена.

Механизм атаки: социальная инженерия и двойной вредоносный файл

Злоумышленники отправили сотруднику завода письмо, якобы от «Транспортно-логистического центра», с вложением «Транспортная_накладнаяТТН№391-44_от_26.06.2025.zip». На деле это был DLL-файл, работающий в паре с LNK-ярлыком.

Как сработала схема

1. LNK-файл запускал PowerShell-скрипт, который искал в системе EAGLET.DLL (второй компонент атаки).
2. При обнаружении DLL скрипт извлекал из нее поддельный Excel-документ с транспортной накладной, максимально похожей на реальную (включая специфические данные, характерные для российских логистических операций).
3. Пока жертва изучала документ, в фоне запускался EAGLET – вредоносный модуль на C++, который:
   • Устанавливал соединение с C&C-сервером (185.225.17.104, Румыния, MivoCloud SRL).
   • Маскировал трафик под легитимные запросы (использовал API Windows и фальшивый User-Agent MicrosoftAppStore).

Кто стоит за атакой? Связи с известными хакерскими группами

Аналитики Seqrite Labs обнаружили сходство между EAGLET и PhantomDL – вредоносным ПО, ранее использованным группировкой Head Mare. Эта же группа брала ответственность за атаку на логистическую компанию СДЭК в 2024 году.

Ключевые признаки связи

• Схожие методы заражения (поддельные документы в письмах).
• Использование похожих имен файлов (например, «Договор_РН83_изменения.zip» в предыдущих атаках).
• Совместное использование инфраструктуры с другой группой – UNG0901.

Почему авиазавод стал целью?

1. Критическая важность отрасли: авиастроение – стратегическая отрасль, данные о производстве и поставках представляют ценность для конкурентов или враждебных государств.
2. Уязвимость через логистику: накладные – рутинный, но критически важный документ, что делает их идеальной приманкой.
3. Социальная инженерия: сотрудники, привыкшие к потоку документов, с большей вероятностью откроют вложение.

Выводы и уроки

1. Опасность рутинных документов: даже обычные Excel-файлы могут быть угрозой.
2. Необходимость проверки вложений: использование сервисов вроде VirusTotal и sandbox-анализа.
3. Мониторинг сетевой активности: аномальные подключения к зарубежным серверам должны вызывать подозрения.
4. Обучение сотрудников: повышение киберграмотности для распознавания фишинга.

Атака CargoTalon – еще один пример того, как хакеры используют социальную инженерию для атак на критическую инфраструктуру. В условиях роста цифровых угроз компаниям необходимо сочетать технические меры защиты с постоянным обучением персонала.