В Україні зафіксували цільові кібератаки на оборонний сектор через популярний месенджер

Урядовою командою реагування на компʼютерні надзвичайні події CERT-UA фіксуються непоодинокі випадки здійснення цільових кібератак як у відношенні співробітників підприємств оборонно-промислового комплексу, так й окремих представників Сил оборони України.

Протягом березня 2025 року у месенджері Signal виявлено факти розповсюдження повідомлень з архівами, в яких нібито міститься звіт з результатами наради. При цьому, в деяких випадках для підвищення довіри відправка повідомлень може здійснюватися від осіб зі списку існуючих контактів, чиї облікові записи було заздалегідь скомпрометовано.

Як правило, згадані архіви містять файл з розширенням ".pdf", а також виконуваний файл, класифікований як DarkTortilla, що є програмним засобом типу криптор/лоадер, призначенням якого є розшифрування та запуск (в т.ч., шляхом інжектування) програмного засобу для віддаленого керування Dark Crystal RAT (DCRAT).

"Нагадаємо, що дана активність відслідковується за ідентифікатором UAC-0200, щонайменше, з літа 2024 року. Водночас, починаючи з лютого 2025 року, зміст повідомлень-приманок стосується БПЛА, засобів РЕБ тощо. Використання популярних месенджерів, як на мобільних пристроях, так і на комп'ютерах, значно розширює поверхню атаки, в тому числі за рахунок створення неконтрольованих (в контексті засобів захисту) каналів обміну інформацією", - повідомили у CERT-UA.