CERT-UA виявила нову хвилю атак на оборонні підприємства та Сили оборони України - Держспецзв’язку

CERT-UA виявила фішингові атаки через Signal на оборонні підприємства та Сили оборони. Зловмисники поширювали шкідливі архіви, замасковані під звіти нарад, використовуючи зламані облікові записи для довіри.

Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA зафіксувала нові випадки цільових кібератак на співробітників підприємств оборонно-промислового комплексу та представників Сил оборони України. Про це повідомляє Держспецзв’язку.

Протягом березня 2025 року зловмисники поширювали в месенджері Signal фішингові повідомлення, що містили шкідливі архіви. Хакери маскували вкладені файли під звіт із результатами наради. У деяких випадках, щоб підвищити довіру до повідомлення, його надсилали від імені знайомих контактів, облікові записи яких були заздалегідь зламані зловмисниками

Зазначається, що фішингові архіви зазвичай містять: файл-приманку із розширенням "pdf" та виконуваний файл DarkTortilla – криптор/лоадер, який розшифровує та запускає засіб для віддаленого керування DarkCrystal RAT (DCRAT).

Ця активність відслідковується CERT-UA під ідентифікатором UAC-0200 щонайменше з літа 2024 року. Починаючи з лютого 2025 року, зміст повідомлень-приманок стосується БПЛА, засобів РЕБ та інших технологій військового призначення

У CERT-UA нагадують, що використання популярних месенджерів, таких як Signal, WhatsApp, Telegram, Viber, як на мобільних пристроях, так і на комп’ютерах значно розширює поверхню атаки. Вони створюють неконтрольовані канали обміну інформацією, що ускладнює виявлення загроз стандартними засобами кіберзахисту.