发现一个受感染的乌克兰国防部电子邮件帐户向“DELTA”态势感知程序的用户发送网络钓鱼电子邮件和即时消息,以使用信息窃取恶意软件感染系统。
CERT-UA (乌克兰计算机应急响应小组)今天在一份报告中强调了该活动,该报告 警告乌克兰军方人员注意恶意软件攻击。
该系统在数字地图上提供来自多个来源的高度集成的全面实时信息,可以在从笔记本电脑到智能手机的任何电子设备上运行。
数字证书用于签署软件代码和验证服务器,告诉在操作系统上运行的安全产品应用程序没有被篡改,服务器操作员就是他们声称的那个人。
感染过程
作为此活动的一部分,威胁行为者使用带有虚假警告的电子邮件或即时消息,告知用户需要更新“Delta”证书才能继续安全地使用系统。
恶意电子邮件包含一个据称包含证书安装说明的 PDF 文档,其中包括下载名为“certificates_rootCA.zip”的 ZIP 存档的链接。
该存档包含一个名为“certificates_rootCA.exe”的数字签名可执行文件,它在启动时会在受害者的系统上创建几个 DLL 文件并启动“ais.exe”,它模拟证书安装过程。
此步骤使受害者相信该过程是合法的,并减少了他们意识到自己已被破坏的机会。
DELTA是乌克兰在其盟友的帮助下创建的情报收集和管理系统,用于帮助军方追踪敌军的动向。
EXE 文件和 DLL 均受 VMProtect 保护,VMProtect 是一种合法软件,用于在独立虚拟机中包装文件、加密其内容,并使 AV 分析或检测变得不可能。
被丢弃的 DLL“FileInfo.dll”和“procsys.dll”是恶意软件,被 CERT-UA 识别为“FateGrab”和“StealDeal”。
FateGrab 是一个 FTP 文件窃取程序,针对以下文件格式的文档和电子邮件:’.txt’、’.rtf’、’.xls’、’.xlsx’、’.ods’、’.cmd’、’.pdf’ , ‘.vbs’, ‘.ps1’, ‘.one’, ‘.kdb’, ‘.kdbx’, ‘.doc’, ‘.docx’, ‘.odt’, ‘.eml’, ‘.msg’ , ‘。电子邮件。’
StealDeal 是一种信息窃取器恶意软件,除其他外,它可以窃取存储在网络浏览器上的互联网浏览数据和密码。
CERT-UA 无法将上述操作与任何已知的威胁行为者联系起来。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 乌克兰的DELTA军事系统用户成为信息窃取恶意软件的目标
