El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) esta semana revelado que los usuarios del programa de conocimiento de la situación de Delta recibieron correos electrónicos de phishing de una cuenta de correo electrónico comprometida perteneciente al Ministerio de Defensa.
Los ataques, que se han atribuido a un grupo de amenazas denominado UAC-0142, tenían como objetivo infectar los sistemas con dos piezas de malware de robo de datos denominadas FateGrab y StealDeal.
Delta es un sistema de visualización de situaciones operativas basado en la nube desarrollado por Aerorozvidka que permite el monitoreo en tiempo real de las tropas en el campo de batalla, lo que lo convierte en un objetivo lucrativo para los actores de amenazas.
Los mensajes de señuelo, que vienen con advertencias falsas para actualizar los certificados raíz en el software Delta, llevan documentos PDF que contienen enlaces a archivos almacenados en un dominio Delta fraudulento, y en última instancia colocan el malware en los sistemas comprometidos.
Si bien FateGrab está diseñado principalmente para filtrar archivos con extensiones específicas a través del Protocolo de transferencia de archivos (FTP), StealDeal selecciona navegadores web para desviar contraseñas y otra información.
El ataque se produce días después de Ucrania presentó el sistema Delta a la Organización de Consulta, Mando y Control de la OTAN (NC3O). También sigue a las revelaciones de que el grupo Gamaredon, vinculado a Rusia, intentó infiltrarse sin éxito en una gran empresa de refinación de petróleo dentro de un estado miembro de la OTAN a fines de agosto de 2022.
La guerra ruso-ucraniana ha llevado a Moscú a intensificar los ataques cibernéticos contra Ucrania, basándose en una amplia gama de malware de limpieza para interrumpir la infraestructura crítica.
Las organizaciones ucranianas, en los últimos meses, también han sido atacadas con RomCom RAT y el ladrón de Vidar, el último de los cuales se ha descubierto que actúa como un conducto para lanzar una cepa de ransomware llamada somnia.
A principios de este mes, CERT-UA señaló que las organizaciones estatales han sido blanco de correos electrónicos de phishing que supuestamente provienen del Servicio de Emergencia del Estado de Ucrania y que contienen archivos RAR armados que están diseñados para implementar una puerta trasera basada en Delphi llamada cabodelfin.