最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

乌克兰的DELTA军事系统用户成为信息窃取恶意软件的目标

网络安全 快米云 来源:快米云 48浏览

乌克兰

发现一个受感染的乌克兰国防部电子邮件帐户向“DELTA”态势感知程序的用户发送网络钓鱼电子邮件和即时消息,以使用信息窃取恶意软件感染系统。

CERT-UA  (乌克兰计算机应急响应小组)今天在一份报告中强调了该活动,该报告 警告乌克兰军方人员注意恶意软件攻击。

该系统在数字地图上提供来自多个来源的高度集成的全面实时信息,可以在从笔记本电脑到智能手机的任何电子设备上运行。

数字证书用于签署软件代码和验证服务器,告诉在操作系统上运行的安全产品应用程序没有被篡改,服务器操作员就是他们声称的那个人。

感染过程

作为此活动的一部分,威胁行为者使用带有虚假警告的电子邮件或即时消息,告知用户需要更新“Delta”证书才能继续安全地使用系统。

恶意电子邮件包含一个据称包含证书安装说明的 PDF 文档,其中包括下载名为“certificates_rootCA.zip”的 ZIP 存档的链接。

活动中使用的电子邮件示例
活动中使用的电子邮件示例 (CERT-UA)
受害者下载 ZIP 文件的登陆页面
受害者下载 ZIP 文件(CERT-UA)的登陆页面

该存档包含一个名为“certificates_rootCA.exe”的数字签名可执行文件,它在启动时会在受害者的系统上创建几个 DLL 文件并启动“ais.exe”,它模拟证书安装过程。

此步骤使受害者相信该过程是合法的,并减少了他们意识到自己已被破坏的机会。

DELTA是乌克兰在其盟友的帮助下创建的情报收集和管理系统,用于帮助军方追踪敌军的动向。

证书安装对话框
证书安装对话框 (CERT-UA)

EXE 文件和 DLL 均受 VMProtect 保护,VMProtect 是一种合法软件,用于在独立虚拟机中包装文件、加密其内容,并使 AV 分析或检测变得不可能。

被丢弃的 DLL“FileInfo.dll”和“procsys.dll”是恶意软件,被 CERT-UA 识别为“FateGrab”和“StealDeal”。

FateGrab 是一个 FTP 文件窃取程序,针对以下文件格式的文档和电子邮件:’.txt’、’.rtf’、’.xls’、’.xlsx’、’.ods’、’.cmd’、’.pdf’ , ‘.vbs’, ‘.ps1’, ‘.one’, ‘.kdb’, ‘.kdbx’, ‘.doc’, ‘.docx’, ‘.odt’, ‘.eml’, ‘.msg’ , ‘。电子邮件。’

StealDeal 是一种信息窃取器恶意软件,除其他外,它可以窃取存储在网络浏览器上的互联网浏览数据和密码。

CERT-UA 无法将上述操作与任何已知的威胁行为者联系起来。

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 乌克兰的DELTA军事系统用户成为信息窃取恶意软件的目标