Vertrieb kontaktieren
Home  /  Malware  Operation Silent Rotor: Gezielte Kampagne gefährdet den Sektor der unbemannten Luftfahrt vor dem Moskauer Gipfel
Operation Silent Rotor: Gezielte Kampagne gefährdet den unbemannten Luftfahrtsektor vor dem Moskauer Gipfel

Operation Silent Rotor: Gezielte Kampagne gefährdet den unbemannten Luftfahrtsektor vor dem Moskauer Gipfel

Geschrieben von Priya Patel
Priya Patel
Malware

Inhaltsverzeichnis

  • Einführung
  • Hauptziele
    • Betroffene Branchen
    • Geografischer Fokus
  • Infektionskette
  • Erste Erkenntnisse
    • Einsicht in die Köderdokumente
  • Technische Analyse
    • Phase 1 – Analyse der schädlichen ausführbaren Datei
    • Stufe 2 – Nutzlastabwurfvorrichtung der zweiten Stufe
  • Infrastruktur und Zuordnung
  • Fazit
  • Seqrite Schutz
  • Kompromissindikatoren (IOCs)
  • MITRE ATT&CK Mappinga
  • Autoren

Einführung

SEQRITE Labs verfolgt aktiv neu auftretende Bedrohungen und hat kürzlich eine Kampagne identifiziert, die sich gegen Fachleute und Organisationen im eurasischen Sektor der unbemannten Luftfahrt richtet. Die Kampagne scheint strategisch auf das XIII. Eurasische Internationale Forum „Unmanned Aviation 2026“ abgestimmt zu sein, das am 23. April 2026 in Moskau stattfindet – eine bedeutende internationale Veranstaltung mit Schwerpunkt auf unbemannten Luftfahrtsystemen (UAS).

Die Kampagne verbreitet per Spear-Phishing verdächtige E-Mail-Anhänge, die ein Archiv namens cai partner.zip enthalten. Dieses Archiv enthält eine in Rust geschriebene ausführbare Datei, die als legitime Auftragsbestätigung des russischen Luftfahrtinformationszentrums (ЦАИ/CAI) getarnt ist.

In den folgenden Abschnitten analysieren wir die in dieser Kampagne verwendeten Phishing-Köder und anschließend die technische Analyse der schädlichen ausführbaren Datei. Wir untersuchen außerdem, wie die Datei eine zweite Payload herunterlädt und ausführt. Darüber hinaus betrachten wir die verwendete Infrastruktur und die C2-Kommunikation und ordnen das beobachtete Verhalten schließlich den Taktiken und Techniken von MITRE ATT&CK zu.

Hauptziele

Betroffene Branchen

  • Sektor Unbemannte Luftfahrtsysteme (UAS/UAV)
  • Luftfahrtinformationsdienste

Geografischer Fokus

  • Russland
  • Tadschikistan
  • Zentralasien
  • Naher Osten und Europa

Infektionskette

Erste Erkenntnisse

Im Zuge unserer Untersuchung laufender Kampagnen stießen wir auf eine verdächtige ZIP-Datei namens cai partner (1).zip in der öffentlichen Sandbox von VirusTotal. Auf den ersten Blick stellten wir fest, dass die Datei aus Russland hochgeladen wurde und bei ihrem ersten Auftreten gemäß unseren Suchkriterien keine Treffer aufwies. Der Dateiname und der Inhalt erschienen uns jedoch verdächtig und weckten unser Interesse.

Weitere Untersuchungen führten uns zu einem weiteren Archiv namens cai partner.zip, das sowohl die Köderdokumente als auch die schädliche ausführbare Datei enthält. Nach dem Extrahieren des Inhalts dieses Archivs stellten wir fest, dass es vier Dateien enthält. Eine davon ist eine binäre ausführbare Datei mit dem Namen "Weitere Informationen zum Bestellen von Produkten ЦАИ.exe" , was übersetzt zu "Auftragsbestätigung für CAI products.exe“.

Zusätzlich zur ausführbaren Datei enthält das Archiv mehrere Attrappen-Dokumente wie eine PDF-, DOCX- und XLSX-Datei, die alle so gestaltet sind, dass sie wie legitime geschäftsbezogene Dokumente aussehen.

Einsicht in die Köderdokumente

PDF-Köderdokument

Das erste Dokument, das unsere Aufmerksamkeit erregte, ist eine aus dem Archiv extrahierte PDF-Datei. Die Datei trägt den Namen „Certificate of translation.PDF“ und ist so gestaltet, dass sie wie ein offizielles Übersetzungszertifikat aussieht.

Bei genauerer Betrachtung erweist sich das Dokument als offizielle Übersetzungsbescheinigung. Es enthält Angaben wie Dokumentennummer, Datum, Name des Übersetzers, Unterschrift und Firmeninformationen (SOMON TRANSLATIONS, Duschanbe, Tadschikistan) sowie Stempel und Siegel, die seine Echtheit belegen sollen.

Betrachtet man die Details des Dokuments, einschließlich der Verwendung mehrerer Sprachen, der formalen Struktur und der offiziell aussehenden Stempel und Unterschriften, so scheint es, dass der Köder darauf abzielt, Fachleute anzusprechen, die im internationalen Geschäft oder im Übersetzungsbereich tätig sind.

DOCX-Köderdokument

Nach der Analyse des Dokuments stellten wir fest, dass diese Datei mit dem Namen „Confirmation of CAICA products order and arrangement of a meeting at the Unmanned Aviation – 2026 forum to discuss payment details and sign a long-term contract.docx“ dem Dokument ähnelt, das dem Opfer unmittelbar nach der Ausführung der schädlichen ausführbaren Datei angezeigt wurde.

Wir werden dieses Dokument im nächsten Abschnitt detailliert analysieren und darin zeigen, wie es von der ausführbaren Datei zur Laufzeit erzeugt wird.

XLSX Köderdokument

Das dritte im Archiv identifizierte Dokument ist eine Excel-Datei mit dem Namen summary_order_cai_final.xlsx

Bei der Analyse der Datei stellten wir fest, dass sie eine detaillierte Liste von Produkten aus dem Luftfahrtbereich enthält, darunter Navigationsdatenbanken, NOTAM-Datensätze, elektronische AIP-Sammlungen und Bordsysteme für Flugzeuge wie die Boeing 737. Das Dokument enthält außerdem Angaben zu Mengen, Lizenzdetails, Aktualisierungsfrequenzen und Nutzungshinweisen und wirkt daher wie eine legitime Bestellübersicht.

Der Detaillierungsgrad und die Verwendung branchenspezifischer Terminologie lassen darauf schließen, dass dieses Dokument sich an Fachleute und Organisationen der Luftfahrt richtet.

Technische Analyse

In diesem Abschnitt untersuchen wir die technische Analyse der aus dem ZIP-Archiv extrahierten Datei. Die gefundene ausführbare Datei trägt den Namen Подтверждение заказа продукции ЦАИ.exe, was übersetzt bedeutet: "Auftragsbestätigung für CAI products.exe"

Nach der Überprüfung der Metadaten mithilfe statischer Analysetools stellten wir fest, dass es sich bei dieser Datei um eine 64-Bit-Windows-Anwendung handelt, die in der Programmiersprache Rust kompiliert wurde. Anschließend analysierten wir die schädliche Funktionalität der Anwendung, die wir in zwei Phasen unterteilten: Die erste Phase konzentriert sich auf die Aktivitäten, die die Anwendung auf dem Rechner des Opfers ausführt. Die zweite Phase beschreibt, wie die Anwendung – abhängig vom Angreifer – eine weitere Schadsoftware von einem entfernten Server herunterlädt und auf den Rechnern des Opfers ablegt.

Phase 1 – Analyse der schädlichen ausführbaren Datei

Bei der ersten Untersuchung der bösartigen ausführbaren Datei stellten wir fest, dass sie eine .docx-Datei ausführt, die wir oben bereits erwähnt haben und die als Köder dient, um die Aufmerksamkeit des Opfers abzulenken.

Ausführung eines Täuschungsdokuments

Wir haben festgestellt, dass ein Dokument explizit in die ausführbare Datei eingebettet ist. Unmittelbar nach der Ausführung wird dieses Dokument auf dem Bildschirm des Benutzers angezeigt, um das Opfer abzulenken und den Eindruck einer harmlosen Anwendung zu erwecken.

Das gefälschte Dokument enthält eine in russischer Sprache verfasste Geschäftsnachricht, die von „Olimov JM“ unterzeichnet ist. Es soll wie eine echte Nachricht eines Luftfahrtunternehmens aussehen, das in einen langfristigen Geschäftsabschluss verwickelt ist.

Es werden luftfahrtbezogene Produkte wie Aerolotsia PRO-Lizenzen, NOTAM-Datenbanken, AIP Russland und GUS sowie Luftfahrtkarten für Flugzeuge wie die Boeing 737, IL-76 und Boeing 777F erwähnt. Auch Tablet-Lizenzen sind aufgeführt. Der Detailgrad, einschließlich Lizenznummern und Regionen, lässt die Nachricht sehr realistisch wirken.

Darin wird auch die bevorstehende Veranstaltung „Unmanned Aviation 2026“ am 23. April in Moskau erwähnt, was darauf hindeutet, dass der Bedrohungsakteur gezielt russischsprachige Opfer ins Visier nimmt, die möglicherweise an der Veranstaltung teilnehmen.

System-Fingerprinting

Nach Ausführung des Köderdokuments beginnt die Schadsoftware sofort mit dem Sammeln von Systeminformationen, um ein individuelles Opferprofil zu erstellen.

Die Schadsoftware ermittelt den Hostnamen des Rechners mithilfe von GetComputerNameExW und die Seriennummer des Laufwerks C: mithilfe von GetVolumeInformationW. Diese Werte werden anschließend per XOR-Verknüpfung verknüpft und in eine Dezimalzeichenfolge umgewandelt, wodurch eine eindeutige Maschinenkennung für das System des Opfers entsteht.

Umgebungs- und Netzwerkaufklärung

Nachdem die Schadsoftware eine eindeutige ID für den Rechner des Opfers erstellt hat, sammelt sie weitere Informationen über das System und das Netzwerk. Dieser Schritt wird von einem internen Modul durchgeführt und konzentriert sich sowohl auf Benutzer- als auch auf Netzwerkdetails.

Zunächst sammelt die Schadsoftware wichtige Umgebungsvariablen:

  • BENUTZER – der aktuell angemeldete Benutzername
  • USERDNSDOMAIN – der Domainname
  • COMPUTERNAME – der Systemhostname
  • BENUTZERPROFIL – der Profilpfad des Benutzers

 

Anschließend sammelt die Schadsoftware Netzwerkinformationen. Sie scannt alle Netzwerkadapter mit GetAdaptersAddresses und ermittelt deren IPv4-Adressen. Diese IP-Adressen werden mit InetNtopW in ein lesbares Format umgewandelt. Zusätzlich erfasst sie Adapternamen und DNS-bezogene Informationen.

Alle diese Daten werden anschließend organisiert und für die Übermittlung an den Command-and-Control-Server (C2) vorbereitet.

Exfiltration

Die Schadsoftware sammelt alle Informationen des Opfers und wandelt sie mithilfe einer Bibliothek namens serde_json in das JSON-Format um. Sie erstellt dieses JSON-Objekt schrittweise, indem sie jedes Datenelement als Schlüssel-Wert-Paar hinzufügt.

Nach der Erstellung der JSON-Daten verschlüsselt die Malware diese mit einer einfachen XOR-Verknüpfung. Die verschlüsselten Daten werden anschließend über HTTPS (Port 443) mittels einer HTTP-POST-Anfrage an den Server cdn[.]kleymarket[.]ru gesendet.

Stufe 2 – Nutzlastabwurfvorrichtung der zweiten Stufe

Im zweiten Schritt beschreiben wir den Übergang der Malware von der Datenerfassung zur Auslieferung der finalen Nutzlast. Nach Erhalt einer verschlüsselten Antwort vom C2-Server entschlüsselt die Malware die Nutzlast mithilfe mehrstufiger Entschlüsselungsalgorithmen und extrahiert sie. Anschließend speichert sie die Nutzlast unter einem zufälligen Dateinamen in einem der Verzeichnisse und führt sie auf dem Zielrechner aus.

Nutzdatenentschlüsselung

Die vom C2-Server übermittelten verschlüsselten Daten werden in mehreren Schritten entschlüsselt. Die Schadsoftware extrahiert zunächst zwei Werte aus der Serverantwort, die als AES-Schlüssel dienen. Anschließend entschlüsselt sie die Daten blockweise mit AES-256.

Nutzlastabwurf & Ausführung

Nach der Entschlüsselung der Nutzdaten erstellt die Malware einen zufälligen, sechsstelligen Dateinamen aus Buchstaben und Zahlen und fügt die Dateiendung .exe hinzu. Die Malware schreibt die Nutzdaten mithilfe von NtWriteFile direkt auf die Festplatte. Die Datei wird an einem der folgenden Orte gespeichert:

  • %USERPROFILE%\Dokumente\ .exe
  • C:\Users\Public\Documents\ .exe

Schließlich führt die Schadsoftware die entschlüsselte Nutzlast mithilfe der CreateProcessA-API aus. Der vollständige Pfad zur abgelegten ausführbaren Datei wird direkt als Befehlszeile übergeben, ohne Angabe des übergeordneten Anwendungsnamens, wodurch ein neuer Prozess auf dem Zielrechner gestartet wird.

Im nächsten Abschnitt werden wir uns nun mit den Infrastruktur- und Attributionsaspekten der Kampagne befassen.

Infrastruktur und Zuordnung

Wir analysierten die in dieser Kampagne verwendete Command-and-Control-Infrastruktur (C2) und stellten fest, dass die Domain hxxp://kleymarket[.]ru erst neun Tage vor unserer Analyse registriert worden war. Zum Zeitpunkt der Untersuchung war sie von keinem Sicherheitsanbieter als schädlich eingestuft.

Passive DNS-Daten zeigen, dass die Domain im Laufe der Zeit zu mehreren IP-Adressen aufgelöst wurde, darunter:

45[.]142[.]36[.]76, 92[.]62[.]113[.]232, and 89[.]108[.]110[.]154

Der jüngste Beschluss vom 2. April 2026 verweist auf 45[.]142[.]36[.]76, bei dem es sich offenbar um den aktiven C2-Server dieser Kampagne handelt. Ältere Einträge aus dem Jahr 2019 deuten hingegen darauf hin, dass die Domain zuvor für andere Zwecke genutzt wurde, bevor sie für diese Aktivität wiederverwendet wurde.

Weitere Analysen unter Verwendung Validin Dies bestätigt, dass die Domain und ihre zugehörige Subdomain auf die IP-Adresse 45[.]142[.]36[.]76 aufgelöst werden, die offenbar die in dieser Kampagne genutzte aktive C2-Infrastruktur darstellt. Diese IP-Adresse wird unter AS48347 (MTW-AS), einem russischen autonomen System mit ungefährem Standort in Moskau, Russland, gehostet.

Zum jetzigen Zeitpunkt ordnen wir diese Kampagne keinem bekannten Akteur zu. Die beobachteten Taktiken, die Infrastruktur und die Social-Engineering-Elemente deuten jedoch auf eine gut geplante und zielgerichtete Operation hin. Aufgrund der verdeckten Durchführung und der thematischen Ausrichtung auf die Luftfahrt haben wir die Kampagne „Operation Silent Rotor“ genannt. Die Kampagne scheint zeitlich sorgfältig auf das Forum „Unmanned Aviation 2026“ in Moskau abgestimmt zu sein, was auf eine gezielte Ansprache von Luftfahrtexperten hindeutet, die voraussichtlich an der Veranstaltung teilnehmen oder mit ihr in Verbindung stehen werden.

Fazit

SEQRITE Labs hat eine gezielte Spear-Phishing-Kampagne identifiziert, die Fachleute im eurasischen Sektor der unbemannten Luftfahrt betrifft. Die Kampagne nutzt realistische Dokumente aus dem Luftfahrtbereich, um das Vertrauen der Opfer zu gewinnen. Die Inhalte verweisen auf das Moskauer Forum „Unmanned Aviation 2026“. Die verbreitete Schadsoftware ist eine in Rust geschriebene ausführbare Datei, die Systeminformationen sammelt, über verschlüsseltes HTTPS mit einem Remote-Server kommuniziert und eine zweite Payload zur Ausführung herunterlädt.

Die in dieser Kampagne verwendete Infrastruktur ist minimal und kurzlebig und basiert auf einer neu registrierten .ru-Domain. Zum jetzigen Zeitpunkt ordnen wir diese Kampagne keinem bekannten Bedrohungsakteur zu. Die Verwendung russischsprachiger Köder und kontextspezifischer Inhalte deutet jedoch darauf hin, dass die Kampagne regional ausgerichtet ist und Opfer innerhalb desselben Ökosystems anvisiert.

Seqrite Schutz

Trojaner.Win64

Kompromissindikatoren (IOCs)

Hash (SHA-256) Reichen Sie das
5936f42ffd7fa7896eeae725b60a5d26bbf3e584712671ef5da0138ee5d58f60 Weitere Informationen zum Bestellen von Produkten ЦАИ.exe
fdef9e489f773319f55f92f712d1b7b5447d59a632b8f4173d1b161d3759ad92 cai partner (1).zip
57e26f6e3b311a1064c946b69159ee05abedf9228b2f95c65536429e7ac7fb24 cai partner.zip
a7bd8869293212e1671df90d2d41b96d4933eb9408b1111bd830e111a91bb202 Übersetzungszertifikat.PDF
2064ef387ac9e51ba72b32004d99e8a0b291dbab24ed8db30f437abf1b40cb49 Bestätigung der Bestellung von CAICA-Produkten und Vereinbarung eines Treffens auf dem Forum „Unmanned Aviation – 2026“ zur Besprechung der Zahlungsdetails und zur Unterzeichnung eines langfristigen Vertrags.docx
89f8e42c825d09a0a50e99bbf7304d7037be33ea362a57d34f87fa7981f80126 summary_order_cai_final.xlsx

URLs

45 [.] 142 [.] 36 [.] 76
cdn[.]kleymarket[.]ru

MITRE ATT&CK-Mapping

Taktik Technik-ID Technikname
Erster Zugriff T1566.001 Phishing: Spearphishing-Anhang
Ausführung T1204.002 Benutzerausführung: Schädliche Datei
Ausführung T1059.003 Befehls- und Skriptinterpreter: Windows-Befehlsshell
Ausführung T1106 Native API
Verteidigungsflucht T1036.004 Maskierung: Übereinstimmung mit legitimem Namen oder Ort
Verteidigungsflucht T1027 Verschleierte Dateien oder Informationen
Verteidigungsflucht T1140 Enthüllen/Dekodieren von Dateien oder Informationen
Bewertung T1082 Systeminformationserkennung
Bewertung T1016 Ermittlung der Systemnetzwerkkonfiguration
Bewertung T1033 Erkennung des Systembesitzers/Benutzers
Bewertung T1083 Datei- und Verzeichniserkennung
Command and Control T1071.001 Application Layer Protocol: Webprotokolle
Command and Control T1090.001 Proxy: Interner Proxy
Exfiltration T1041 Exfiltration über C2-Kanal
Auswirkungen T1105 Ingress-Tool-Übertragung

Autoren

Priya Patel

Rayapati Lakshmi Prasanna Sai

Priya Patel

Über Priya Patel

...

Artikel von Priya Patel »

Verwandte Artikel