侵害されたウクライナ国防省の電子メール アカウントが、フィッシング メールとインスタント メッセージを状況認識プログラム「DELTA」のユーザーに送信して、情報を盗むマルウェアでシステムを感染させていたことが判明しました。
このキャンペーンは、 CERT-UA (ウクライナのコンピュータ緊急対応チーム) による本日のレポートで強調され、ウクライナの軍関係者にマルウェア攻撃について警告しました。
DELTA は、同盟国の助けを借りてウクライナが作成した情報収集および管理システムであり、軍が敵軍の動きを追跡するのに役立ちます。
このシステムは、ラップトップからスマートフォンまで、あらゆる電子デバイスで実行できるデジタル マップ上の複数のソースからの高度な統合により、包括的なリアルタイム情報を提供します。
デジタル証明書は、ソフトウェア コードに署名し、サーバーを認証するために使用され、OS 上で実行されているセキュリティ製品に、アプリケーションが改ざんされておらず、サーバー オペレーターが本人であることを伝えます。
感染プロセス
このキャンペーンの一環として、攻撃者は電子メールまたはインスタント メッセージを使用して、ユーザーがシステムを安全に使用し続けるには「デルタ」証明書を更新する必要があるという偽の警告を送信しました。
悪意のある電子メールには、証明書のインストール手順が記載されているとされる PDF ドキュメントが含まれており、「certificates_rootCA.zip」という名前の ZIP アーカイブをダウンロードするためのリンクが含まれています。
.png)
.png)
このアーカイブには、「certificates_rootCA.exe」という名前のデジタル署名された実行可能ファイルが含まれており、起動時に被害者のシステムにいくつかの DLL ファイルを作成し、証明書のインストール プロセスをシミュレートする「ais.exe」を起動します。
この手順により、被害者はプロセスが正当なものであると確信し、侵害されたことに気付く可能性が低くなります。
.png)
EXE ファイルと DLL の両方が VMProtect によって保護されています。VMProtect は、スタンドアロンの仮想マシンでファイルをラップし、コンテンツを暗号化し、AV の分析や検出を不可能にするために使用される正規のソフトウェアです。
投下された DLL の「FileInfo.dll」と「procsys.dll」はマルウェアであり、CERT-UA によって「FateGrab」と「StealDeal」として識別されています。
FateGrab は、「.txt」、「.rtf」、「.xls」、「.xlsx」、「.ods」、「.cmd」、「.pdf」のファイル形式のドキュメントと電子メールを標的とする FTP ファイル スティーラーです。 、「.vbs」、「.ps1」、「.one」、「.kdb」、「.kdbx」、「.doc」、「.docx」、「.odt」、「.eml」、「.msg」 、 ‘。Eメール。’
StealDeal は情報を盗むマルウェアで、とりわけ、Web ブラウザに保存されているインターネット閲覧データとパスワードを盗むことができます。
CERT-UA は、上記の操作を既知の攻撃者に関連付けることができませんでした。
Comments