L’équipe d’intervention d’urgence informatique d’Ukraine (CERT-UA) est avertissement d’une nouvelle campagne qui cible les secteurs de la défense avec Dark Crystal Rat (AKA DCRAT).
La campagne, détectée plus tôt ce mois-ci, a ciblé les deux employés des entreprises du complexe de défense-industriel et des représentants individuels des Forces de défense de l’Ukraine.
L’activité consiste à distribuer des messages malveillants via l’application de messagerie de signal qui contiennent des procès-verbaux de réunion supposés. Certains de ces messages sont envoyés à partir de comptes de signaux précédemment compromis afin d’augmenter la probabilité de succès des attaques.
Les rapports sont partagés sous la forme de fichiers d’archives, qui contiennent un PDF de leurre et un exécutable, un crypter évasif basé sur .NET nommé Darktortilla qui décrypte et lance le malware DCRAT.
DCRAT, un cheval de Troie à l’accès à distance bien documenté (RAT), facilite l’exécution des commandes arbitraires, vole des informations précieuses et établit une télécommande sur les appareils infectés.
CERT-UA a attribué l’activité à un cluster de menace qu’il suit en tant que UAC-0200, qui est connu pour être actif depuis au moins l’été 2024.
“L’utilisation de messagers populaires, à la fois sur les appareils mobiles et sur les ordinateurs, étend considérablement la surface d’attaque, y compris en raison de la création de canaux d’échange d’informations non contrôlés (dans le contexte de la protection)”, a ajouté l’agence.
Le développement fait suite à la décision présumée de Signal de cesser de répondre aux demandes de l’application de la loi ukrainienne concernant les cyber-menaces russes, selon au disque.
“Avec son inaction, Signal aide les Russes à recueillir des informations, à cibler nos soldats et à compromettre les fonctionnaires du gouvernement”, a déclaré Serhii Demediuk, secrétaire adjoint de l’Ukraine à la sécurité nationale et à la défense.
Le PDG de Signal Meredith Whittaker, cependant, a réfuté la réclamation, déclarant “Nous ne travaillons officiellement avec aucun gouvernement, Ukraine ou autrement, et nous ne nous sommes jamais arrêtés. Nous ne savons pas d’où cela vient ni pourquoi.”
Il vient également dans le sillage des rapports de Microsoft et Google que les cyber-acteurs russes se concentrent de plus en plus sur l’obtention d’un accès non autorisé aux comptes WhatsApp et à Signal en tirant parti de la fonction de liaison de l’appareil, car les Ukrainiens se sont tournés vers le signal en tant qu’alternative au télégramme.