CERT-UA警告称，针对乌克兰国防工业的网络间谍活动正在使用Dark Crystal RAT

乌克兰计算机应急响应小组（CERT-UA）揭露了一项新的网络间谍活动，该活动针对国防工业综合体企业的员工和乌克兰国防部队的代表，使用了Dark Crystal RAT。

2025年3月，威胁行为者通过Signal分发存档消息。该存档包含一个伪造的PDF报告和DarkTortilla恶意软件，后者充当Dark Crystal RAT（DCRat）的启动器。乌克兰政府专家注意到，一些消息是从被入侵的联系人发送的，以增加信任度。

CERT-UA发布的报告中写道：“通常，上述存档包含一个扩展名为‘.pdf’的文件，以及一个被归类为DarkTortilla的可执行文件，这是一种加密/加载器类型的软件工具，其目的是解密并启动（包括通过注入）远程控制软件工具Dark Crystal RAT（DCRAT）。”

CERT-UA发布了针对当前活动的入侵指标（IoCs）。

CERT-UA的报告指出，自2024年夏季以来一直在追踪UAC-0200活动，最近的诱饵消息（自2025年2月以来）集中在无人机和电子战上。在移动和桌面设备上使用流行的即时通讯应用程序扩大了攻击面，创建了绕过安全措施的非受控信息交换渠道。

DCRat首次出现在威胁环境中是在2018年，但一年后它被重新设计并重新推出。DCRat是用.NET编写的，具有模块化结构，附属机构可以通过使用名为DCRat Studio的专用集成开发环境（IDE）开发自己的插件。该恶意软件的模块化架构允许扩展其功能以实现多种恶意目的，包括监视、侦察、信息窃取、DDoS攻击和任意代码执行。

DCRat由三个组件组成：

一个窃取者/客户端可执行文件

一个PHP页面，作为命令和控制（C2）端点/接口

一个管理工具

2022年6月，乌克兰政府计算机应急响应小组（CERT-UA）警告了另一项针对乌克兰电信运营商的恶意软件活动，使用了DarkCrystal RAT。

恶意垃圾邮件主题为“免费初级法律援助”，使用了一个受密码保护的附件“Algorithm of actions of members of the family of a missing serviceman LegalAid.rar”。

乌克兰CERT-UA分析的RAR存档包含文档“Algorithm_LegalAid.xlsm”。打开文档并启用宏后，将执行PowerShell命令。该脚本将下载并运行.NET引导程序“MSCommondll.exe”，然后下载并运行恶意软件DarkCrystal RAT。

原文始发于微信公众号（黑猫安全）：CERT-UA警告称，针对乌克兰国防工业的网络间谍活动正在使用Dark Crystal RAT