Ukrayna’nın bilgisayar acil müdahale ekibi (CERT-UA), Dark Kristal Sıçan (aka DCRAT) ile savunma sektörlerini hedefleyen yeni bir kampanya uyarısı.
Bu ayın başlarında tespit edilen kampanyanın, hem savunma-sanayi kompleksi işletmelerinin çalışanlarını hem de Ukrayna Savunma Kuvvetleri’nin bireysel temsilcilerini hedeflediği bulunmuştur.
Etkinlik, kötü niyetli mesajların sözde toplantı tutanaklarını içeren sinyal mesajlaşma uygulaması aracılığıyla dağıtılmasını içerir. Bu mesajlardan bazıları, saldırıların başarı olasılığını artırmak için daha önce tehlikeye atılmış sinyal hesaplarından gönderilir.
Raporlar, bir tuzak PDF ve yürütülebilir bir, Darktortilla adlı bir .NET tabanlı kaçış krypter içeren arşiv dosyaları şeklinde paylaşılır ve DCRAT kötü amaçlı yazılımları başlatır.
İyi belgelenmiş bir uzaktan erişim Trojan (sıçan) olan DCRAT, keyfi komutların yürütülmesini kolaylaştırır, değerli bilgileri çalar ve enfekte olmuş cihazlar üzerinde uzaktan kumanda oluşturur.
CERT-UA, etkinliği en azından 2024 yazından beri aktif olduğu bilinen UAC-0200 olarak izlediği bir tehdit kümesine bağladı.
Ajans, “Hem mobil cihazlarda hem de bilgisayarlarda popüler habercilerin kullanımı, kontrolsüz (koruma bağlamında) bilgi alışverişi kanallarının oluşturulması da dahil olmak üzere saldırı yüzeyini önemli ölçüde genişletiyor.”
Kayıtlara göre, gelişme Signal’ın Ukrayna kolluk kuvvetlerinden Rus siber tehditleriyle ilgili taleplere yanıt vermeyi bırakma kararını izliyor.
Ukrayna Ulusal Güvenlik ve Savunma Konseyi sekreteri Serhii Demediuk, “Hareketsizliği ile Rusların bilgi toplamasına, askerlerimizi hedeflemelerine ve hükümet yetkililerini uzlaştırmaya yardımcı oluyor.” Dedi.
Bununla birlikte, Signal CEO’su Meredith Whittaker, “Herhangi bir Gov, Ukrayna veya başka bir şekilde resmi olarak çalışmıyoruz ve hiç durmadık. Bunun nereden geldiğinden veya neden olduğundan emin değiliz.”
Ayrıca Microsoft ve Google’ın Rus siber aktörlerinin, Ukraynalılar Telegram’a alternatif olarak sinyale döndüğü için, cihaz bağlama özelliğinden yararlanarak WhatsApp’a ve sinyal hesaplarına izinsiz erişim elde etmeye odaklandıkları raporlarının ardından geliyor.