DCRat alkalmazása ukrán közjegyzők ellen
Az ukrán CERT-UA 2025. február 25-én az UAC-0173 tevékenységére figyelmeztetett, amely a DCRat (más néven DarkCrystal RAT) nevű távoli hozzáférési trójai vírussal fertőz meg számítógépeket. A támadási hullám 2025 január közepén indult és ukrán közjegyzőket célzott meg. A fertőzési lánc olyan adathalász e-mailekkel kezdődik, amelyeket látszólag az ukrán igazságügyi minisztérium nevében küldtek, és egy futtatható fájl letöltésére ösztönzik a címzetteket (pl.”HAKA3.exe”, “Order of the Ministry of Justice of February 10, 2025 No. 43613.1-03.exe”, “For your information.exe”). Az exe futtatása a DCRat kártevő telepítéséhez vezet. A bináris állományt a Cloudflare R2 felhőalapú tárhelyszolgáltatásában tárolják.
Miután hozzáférést szereztek a kiberszereplők egy közjegyző munkahelyéhez, további eszközöket telepítenek, többek között az RDPWRAPPER-t, amely a párhuzamos RDP munkamenetek funkcióját valósítja meg, amely a BORE segédprogram használatával kombinálva lehetővé teszi, hogy RDP-kapcsolatot hozzanak létre a fertőzött eszközhöz.
A kibertevékenységek során más eszközöket és kártevőcsaládokat is használ az UAC-0173, mint például a FIDDLER-t az állami nyilvántartók webes felületén bevitt hitelesítési adatok megszerzésére, az NMAP-et a hálózat átvizsgálására, az XWorm-t pedig érzékeny adatok, például hitelesítő adatok és a vágólap tartalmának megszerzésére.
A CERT-UA jelentése az említett kibertevékenységről két nappal azután jelent meg, hogy a CERT-UA a Sandworm csoport (más néven APT44, Seashell Blizzard vagy UAC-0002) egyik alcsoportjának tulajdonította a Microsoft Windows egy mára javított biztonsági hibájának (CVE-2024-38213, CVSS pontszám: 6,5) kihasználását 2024 második felében.
