- 13,858
- 20
- 8 Ноя 2022
Пользователей системы заражали через письма, отправленные со взломанной электронной почты Минобороны Украины.
Delta – украинская система информационной поддержки решений и ситуационной осведомленности на поле боя. Программа создана для улучшения скоординированности действий различных подразделений армии Украины. Delta имеет интеграцию с различными внешними системами разведки, такими как: спутники, радары, различные сенсоры и камеры, а также чат-бот в Telegram под названием «е-Ворог». Каждый солдат может внести свои данные на общую карту, а также просматривать данные, внесенные другими военными или службами разведки. Каждому пользователю присваивается свой уровень допуска, отвечающий его боевым заданиям и званию.
Кроме того, система использует цифровые сертификаты для подписи программного кода и аутентификации серверов. Это нужно для того, чтобы ИБ-системы знали, что приложение не модифицировано, а оператор сервера является тем, за кого себя выдает.
В ходе этой вредоносной кампании неизвестные хакеры использовали взломанную электронную почту Минобороны Украины. С нее злоумышленники рассылали письма пользователям Delta, в которых призывали как можно скорее обновить сертификаты, чтобы продолжить безопасно пользоваться системой. По данным CERT-UA, вредоносные письма содержали в себе PDF-документы с инструкциями по установке сертификатов, а также ссылки для загрузки ZIP-архива под названием "certificates_rootCA.zip".
Электронное письмо, обнаруженное CERT-UA.
Страница, с которой жертвы загружают ZIP-файл.
Архив содержит исполняемый файл с цифровой подписью под названием "certificates_rootCA.exe", который при запуске создает несколько DLL-файлов в системе жертвы и запускает файл "ais.exe", имитирующий процесс установки сертификата. Этот шаг убеждает жертву в легитимности происходящего и притупляет бдительность.
Exe- и dll-файлы защищены VMProtect, легитимным ПО, которое используется для обертывания файлов в автономных VM и шифрования их содержимого, что делает невозможным анализ или обнаружение антивирусными средствами.
Специалисты CERT-UA все же смогли проанализировать два dll – FileInfo.dll и procsys.dll, которые оказались вредоносными программами, получившими название FateGra' и StealDeal.
FateGrab - это инфостилер, нацеленный на документы и электронные письма следующих форматов: '.txt', '.rtf', '.xls', '.xlsx', '.ods', '.cmd', '.pdf', '.vbs', '.ps1', '.one', '.kdb', '.kdbx', '.doc', '.docx', '.odt', '.eml', '.msg', '.email'.
StealDeal – это тоже инфостилер, но уже нацеленный на историю браузера жертвы и сохраненные пароли.
Пока CERT-UA не может связать эту вредоносную кампанию с какой-либо хакерской группировкой.
- Источник новости
- www.securitylab.ru
