乌克兰计算机应急响应小组(CERT-UA)揭露了一项新的网络间谍活动,该活动针对国防工业综合体企业的员工和乌克兰国防部队的代表,使用了Dark Crystal RAT。
2025年3月,威胁行为者通过Signal分发存档消息。该存档包含一个伪造的PDF报告和DarkTortilla恶意软件,后者充当Dark Crystal RAT(DCRat)的启动器。乌克兰政府专家注意到,一些消息是从被入侵的联系人发送的,以增加信任度。
CERT-UA发布的报告中写道:“通常,上述存档包含一个扩展名为‘.pdf’的文件,以及一个被归类为DarkTortilla的可执行文件,这是一种加密/加载器类型的软件工具,其目的是解密并启动(包括通过注入)远程控制软件工具Dark Crystal RAT(DCRAT)。”
CERT-UA发布了针对当前活动的入侵指标(IoCs)。
CERT-UA的报告指出,自2024年夏季以来一直在追踪UAC-0200活动,最近的诱饵消息(自2025年2月以来)集中在无人机和电子战上。在移动和桌面设备上使用流行的即时通讯应用程序扩大了攻击面,创建了绕过安全措施的非受控信息交换渠道。
DCRat首次出现在威胁环境中是在2018年,但一年后它被重新设计并重新推出。DCRat是用.NET编写的,具有模块化结构,附属机构可以通过使用名为DCRat Studio的专用集成开发环境(IDE)开发自己的插件。该恶意软件的模块化架构允许扩展其功能以实现多种恶意目的,包括监视、侦察、信息窃取、DDoS攻击和任意代码执行。
DCRat由三个组件组成:
一个窃取者/客户端可执行文件
一个PHP页面,作为命令和控制(C2)端点/接口
一个管理工具
2022年6月,乌克兰政府计算机应急响应小组(CERT-UA)警告了另一项针对乌克兰电信运营商的恶意软件活动,使用了DarkCrystal RAT。
恶意垃圾邮件主题为“免费初级法律援助”,使用了一个受密码保护的附件“Algorithm of actions of members of the family of a missing serviceman LegalAid.rar”。
乌克兰CERT-UA分析的RAR存档包含文档“Algorithm_LegalAid.xlsm”。打开文档并启用宏后,将执行PowerShell命令。该脚本将下载并运行.NET引导程序“MSCommondll.exe”,然后下载并运行恶意软件DarkCrystal RAT。
原文始发于微信公众号(黑猫安全):CERT-UA警告称,针对乌克兰国防工业的网络间谍活动正在使用Dark Crystal RAT
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论