烏克蘭三角洲軍事情報計劃已成為黑客目標

近日，烏克蘭的計算機應急響應小組CERT-UA透露，國家 Delta 軍事情報計劃的用戶已成為基于惡意軟件的攻擊目標。

詳 細 內 容

根據CERT-UA的說法，攻擊者使用屬于國防部員工的被黑電子郵件帳戶以及消息應用程序發送消息，通知收件人需要更新 Delta 系統中的證書。惡意郵件攜帶的文檔包含指向托管在虛假 Delta 域上的存檔文件的鏈接。

魚叉式網絡釣魚郵件是從屬于國防部一名雇員和信使的一個被盜用的電子郵件地址發送的。該消息敦促收件人更新“DELTA”系統中的證書，它還使用了一個附加的 PDF 文件，該文件模仿了 Zaporizhzhia 警察局 ISTAR 部門的合法摘要。

根據 CERT-UA，該文檔包含指向惡意 ZIP 存檔（“certificates_rootca.zip”）的鏈接，該存檔托管在虛假的 Delta 域上。

“Delta 是一個系統，用于收集、處理和顯示有關敵軍的信息，協調國防軍，并根據北約標準提供態勢感知，由國防部國防技術創新與發展中心開發。” 烏克蘭軍方表示。

在執行存檔中包含的可執行文件“certificates_rootCA.exe”后，它將在受感染的系統上安裝兩個惡意軟件；用于竊取敏感數據（電子郵件、數據庫、腳本和文檔）的信息竊取惡意軟件 FateGrab 和用于竊取 Internet 瀏覽器數據的 StealDeal 惡意軟件。

這些文件旨在將兩種惡意軟件部署到受感染的系統上，其中一種名為 FateGrab，用于收集電子郵件、數據庫、腳本和文檔，另一種名為 StealDeal，用于收集互聯網瀏覽器數據等。

“如果您點擊鏈接，包含受 VMProtect 保護的“certificates_rootCA.exe”可執行文件的“certificates_rootca.zip”存檔將下載到您的計算機（該文件于 2022 年 12 月 15 日編譯并進行數字簽名）。” 閱讀 CERT-UA 發布的公告。

“運行 EXE 文件后，將在 PC 上創建幾個同樣受 VMProtect 保護的 DLL 文件，以及一個模擬證書安裝過程的“ais.exe”文件。稍后，兩個惡意程序將在受害者的計算機上啟動：”閱讀CERT-UA 發布的警報。“FateGrab（“FileInfo.dll”；“ftp_file_graber.dll”），其功能涉及竊取擴展名為“.txt”、“.rtf”、“. xls', '.xlsx', '.ods', '.cmd', '.pdf', '.vbs', '.ps1', '.one', '.kdb', '.kdbx', '. doc'、'.docx'、'.odt'、'.eml'、'.msg'、'.email'，隨后通過 FTP 和 StealDeal（“procsys.dll”；“StealDll.dll”）進行滲漏，除其他外，旨在竊取互聯網瀏覽器數據。”

烏克蘭當局將此次攻擊歸因于被追蹤為 UAC-0142 的威脅行為者。

俄羅斯以三角洲系統為目標。烏克蘭記者尤里·布圖索夫 (Yuriy Butusov) 表示，俄羅斯黑客今年早些時候獲得了對該系統的有限訪問權限，但聲稱他們未能獲得任何重要信息。在俄羅斯聲稱三角洲系統遭到黑客攻擊之后，布圖索夫就此發表了評論。

烏克蘭的 Delta 系統收集有關敵人的信息，幫助協調防御力量，并提供態勢感知。它被吹捧為烏克蘭武器庫中非常寶貴的資源，這可能使其成為俄羅斯網絡戰士的重要目標。

自俄烏沖突以來，俄羅斯加強了對烏克蘭的網絡攻擊，經常使用擦除器惡意軟件造成破壞。

烏方主要擔憂是俄羅斯可能會針對關鍵基礎設施發動大規模網絡攻擊，如今年早些時候針對烏克蘭能源供應商使用的Industroyer2工業控制系統 (ICS) 惡意軟件和旨在操縱和控制的Pipedream/Incontroller惡意軟件的攻擊所示，擾亂工業流程。