Złośliwa kampania Dark Crystal RAT atakuje sektor obronny Ukrainy

Cyberprzestępcy rozpoczęli nową złośliwą kampanię przeciwko organizacjom działającym w ukraińskim sektorze obronnym, rozprzestrzeniając złośliwe oprogramowanie Dark Crystal. Ukraiński Zespół Reagowania na Zagrożenia Komputerowe CERT-UA poinformował, że atakujący używają rosyjskiego trojana umożliwiającego zdalny dostęp (RAT) do celów w tym kraju.

Rosyjski trojan atakuje ukraińskie dane

Dark Crystal (lub DCRat) to RAT rzekomo preferowany przez wielu początkujących hakerów, ale o wystarczająco zaawansowanej konstrukcji, aby sprostać potrzebom bardziej zaawansowanych atakujących. Doświadczeni cyberprzestępcy mogą używać niestandardowych wtyczek i modułowej struktury złośliwego oprogramowania, aby dostosować RAT do swoich upodobań.

Grupa zagrożeń rozprzestrzenia złośliwe oprogramowanie za pośrednictwem aplikacji Signal

CERT-UA zauważyło kampanię na początku tego miesiąca. Agencja twierdzi, że grupa zagrożeń, śledzona jako UAC-0200, atakowała osoby w Siłach Obronnych Ukrainy i pracowników organizacji przemysłu obronnego. Sprawcy rzekomo używają spreparowanych zarchiwizowanych wiadomości w Signal do rozprzestrzeniania złośliwego oprogramowania.

„Zwykle wspomniane archiwa zawierają plik z rozszerzeniem „.pdf”, a także plik wykonywalny sklasyfikowany jako DarkTortilla, który jest narzędziem programowym typu kryptor/loader, którego celem jest odszyfrowanie i uruchomienie (w tym przez wstrzyknięcie) narzędzia programowego do zdalnego sterowania Dark Crystal RAT (DCRAT)” — czytamy w ostrzeżeniu bezpieczeństwa CERT-UA.

DCRat i jego niszczycielskie możliwości

Mimo że DCRat jest preferowany przez tzw. „script kiddies”, jest to kompetentne, niszczycielskie narzędzie, które może siać spustoszenie na zainfekowanych maszynach.

Służy wielu złośliwym celom, w tym:

Monitorowanie: Aktorzy zagrożeń mogą używać DCRat do wykonywania zadań nadzoru i eksfiltracji danych z zainfekowanych urządzeń.

Recon: RAT umożliwia atakującym zbieranie informacji o urządzeniu hosta i jego sieci.

Kradzież danych: Sprawcy mogą ukraść poufne dane z zainfekowanych maszyn.

Zdalne wykonywanie kodu: Atakujący mogą uruchamiać dowolny kod na zainfekowanych urządzeniach w kilku językach programowania.

Ataki DDoS: DCRat może uzbroić zainfekowane maszyny w rozproszone ataki typu „odmowa usługi” (DDoS) skierowane przeciwko innym celom
Zdalna kontrola: sprawcy zagrożeń mogą wykorzystać możliwości DCRat do przejęcia kontroli nad zainfekowanymi urządzeniami.

Ochrona przed złośliwym oprogramowaniem typu RAT i innymi zagrożeniami

„RAT-y należą do najbardziej destrukcyjnych odmian złośliwego oprogramowania w cyberprzestrzeni. Dedykowane oprogramowanie antywirusowe może pomóc chronić urządzenia przed nimi i podobnymi zagrożeniami, w tym wirusami, exploitami typu zero-day, robakami, rootkitami, ransomware i spyware. Do najważniejszych funkcji najnowszych antywirusów należą kompleksowy, ciągły monitoring i ochrona, zapobieganie zagrożeniom sieciowym, wykrywanie zachowań aktywnych aplikacji, wielowarstwowa ochrona przed oprogramowaniem wymuszającym okup, zapobieganie atakom internetowym i wykrywanie oszustw przy użyciu sztucznej inteligencji” – mówi Arkadiusz Kraszewski z firmy Marken Systemy Antywirusowe, polskiego dystrybutora oprogramowania Bitdefender.