Cyberprzestępcy rozpoczęli nową złośliwą kampanię przeciwko organizacjom działającym w ukraińskim sektorze obronnym, rozprzestrzeniając złośliwe oprogramowanie Dark Crystal. Ukraiński Zespół Reagowania na Zagrożenia Komputerowe CERT-UA poinformował, że atakujący używają rosyjskiego trojana umożliwiającego zdalny dostęp (RAT) do celów w tym kraju.
Rosyjski trojan atakuje ukraińskie dane
Dark Crystal (lub DCRat) to RAT rzekomo preferowany przez wielu początkujących hakerów, ale o wystarczająco zaawansowanej konstrukcji, aby sprostać potrzebom bardziej zaawansowanych atakujących. Doświadczeni cyberprzestępcy mogą używać niestandardowych wtyczek i modułowej struktury złośliwego oprogramowania, aby dostosować RAT do swoich upodobań.
Grupa zagrożeń rozprzestrzenia złośliwe oprogramowanie za pośrednictwem aplikacji Signal
CERT-UA zauważyło kampanię na początku tego miesiąca. Agencja twierdzi, że grupa zagrożeń, śledzona jako UAC-0200, atakowała osoby w Siłach Obronnych Ukrainy i pracowników organizacji przemysłu obronnego. Sprawcy rzekomo używają spreparowanych zarchiwizowanych wiadomości w Signal do rozprzestrzeniania złośliwego oprogramowania.
„Zwykle wspomniane archiwa zawierają plik z rozszerzeniem „.pdf”, a także plik wykonywalny sklasyfikowany jako DarkTortilla, który jest narzędziem programowym typu kryptor/loader, którego celem jest odszyfrowanie i uruchomienie (w tym przez wstrzyknięcie) narzędzia programowego do zdalnego sterowania Dark Crystal RAT (DCRAT)” — czytamy w ostrzeżeniu bezpieczeństwa CERT-UA.
DCRat i jego niszczycielskie możliwości
Mimo że DCRat jest preferowany przez tzw. „script kiddies”, jest to kompetentne, niszczycielskie narzędzie, które może siać spustoszenie na zainfekowanych maszynach.
Służy wielu złośliwym celom, w tym:
- Monitorowanie: Aktorzy zagrożeń mogą używać DCRat do wykonywania zadań nadzoru i eksfiltracji danych z zainfekowanych urządzeń.
- Recon: RAT umożliwia atakującym zbieranie informacji o urządzeniu hosta i jego sieci.
- Kradzież danych: Sprawcy mogą ukraść poufne dane z zainfekowanych maszyn.
- Zdalne wykonywanie kodu: Atakujący mogą uruchamiać dowolny kod na zainfekowanych urządzeniach w kilku językach programowania.
- Ataki DDoS: DCRat może uzbroić zainfekowane maszyny w rozproszone ataki typu „odmowa usługi” (DDoS) skierowane przeciwko innym celom
- Zdalna kontrola: sprawcy zagrożeń mogą wykorzystać możliwości DCRat do przejęcia kontroli nad zainfekowanymi urządzeniami.
Ochrona przed złośliwym oprogramowaniem typu RAT i innymi zagrożeniami
– RAT-y należą do najbardziej destrukcyjnych odmian złośliwego oprogramowania w cyberprzestrzeni. Dedykowane oprogramowanie antywirusowe może pomóc chronić urządzenia przed nimi i podobnymi zagrożeniami, w tym wirusami, exploitami typu zero-day, robakami, rootkitami, ransomware i spyware. Do najważniejszych funkcji najnowszych antywirusów należą kompleksowy, ciągły monitoring i ochrona, zapobieganie zagrożeniom sieciowym, wykrywanie zachowań aktywnych aplikacji, wielowarstwowa ochrona przed oprogramowaniem wymuszającym okup, zapobieganie atakom internetowym i wykrywanie oszustw przy użyciu sztucznej inteligencji – mówi Arkadiusz Kraszewski z firmy Marken Systemy Antywirusowe, polskiego dystrybutora oprogramowania Bitdefender.