DCRat kampány az ukrán katonai-ipari komplexum ellen
Az ukrán CERT-UA számos esetben regisztrált célzott kibertámadásokat mind a katonai-ipari komplexum vállalatainak alkalmazottai, mind az ukrán védelmi erők egyéni képviselői ellen. 2025 márciusban a Signal instant messenger applikáción archivált üzeneteket terjesztettek, amelyek állítólag egy megbeszélés eredményeit tartalmazó jelentést tartalmaztak. Bizonyos esetekben a bizalom növelése érdekében az üzeneteket az áldozat meglévő kontaktlistáján szereplő személyek korábban kompromittált fiókjából küldték a kiberszereplők. A DCRat egy moduláris remote access trojan, amely 2018 óta malware-as-a-service-ként érhető el. Képes többek között parancsokat végrehajtani, billentyűleütéseket naplózni és adatokat kiszivárogtatni a kompromittált rendszerből.
Az említett archívumok jellemzően egy „.pdf” kiterjesztésű fájlt, valamint egy DarkTortilla néven követett futtatható fájlt tartalmaztak, amely egy loader és amelynek célja a Dark Crystal RAT (DCRAT) futtatása. Ezt a tevékenységet 2024 nyara óta UAC-0200 azonosító alatt követik nyomon. 2025 februárjától kezdődően a csali üzenetek tartalma többek között UAV-kra és elektronikus hadviselési eszközökre vonatkozik.
A népszerű azonnali üzenetküldők mobileszközökön és számítógépeken történő használata jelentősen növeli a támadási felületet, ezért a CERT-UA figyelmeztet az olyan messenger alkalmazások, mint például a Signal, a WhatsApp, a Telegram és a Viber használatára mivel ezek felügyeleten kívüli információmegosztási csatornákat biztosítanak, ami megnehezíti a fenyegetések felderítését a hagyományos kibervédelmi eszközökkel.
Az ukrán CERT-UA 2025. február 25-én az UAC-0173 tevékenységére figyelmeztetett, amely szintán a DCRat-tal fertőzte meg ukrán közjegyzők számítógépeit.
A CERT-UA megosztotta a kampánnyal kapcsolatos IOC-kat is.
