Das ukrainische Computer Emergency Response Team (CERT-UA) hat diese Woche bekannt gegeben, dass Nutzer des Delta Situational Awareness Programms Phishing-E-Mails von einem kompromittierten E-Mail-Konto des Verteidigungsministeriums erhalten haben.
Die Angriffe, die einem Bedrohungscluster mit dem Namen UAC-0142 zugeschrieben werden, zielten darauf ab, Systeme mit zwei Malware-Programmen zu infizieren, die Daten stehlen und als FateGrab und StealDeal bezeichnet werden.
Delta ist ein von Aerorozvidka entwickeltes, cloudbasiertes System zur Anzeige der Einsatzlage, das die Echtzeitüberwachung von Truppen auf dem Schlachtfeld ermöglicht und damit ein lukratives Ziel für Bedrohungsakteure darstellt.
Die Köder-Nachrichten mit gefälschten Warnungen zur Aktualisierung der Root-Zertifikate in der Delta-Software enthalten PDF-Dokumente mit Links zu Archivdateien, die auf einer gefälschten Delta-Domäne gehostet werden und schließlich die Malware auf kompromittierten Systemen ablegen.
Während FateGrab hauptsächlich darauf ausgelegt ist, Dateien mit bestimmten Erweiterungen über das File Transfer Protocol(FTP) zu exfiltrieren, hat es StealDeal auf Webbrowser abgesehen, um Passwörter und andere Informationen abzuschöpfen.
Der Angriff erfolgt wenige Tage, nachdem die Ukraine das Delta-System der NATO-Beratungs-, Kommando- und Kontrollorganisation(NC3O) vorgestellt hat. Außerdem wurde bekannt, dass die russische Gamaredon-Gruppe Ende August 2022 erfolglos versucht hat, in ein großes Erdölraffinerieunternehmen in einem NATO-Mitgliedstaat einzudringen.
Der russisch-ukrainische Krieg hat Moskau dazu veranlasst, seine Cyberangriffe auf die Ukraine zu verstärken und eine breite Palette von Wiper-Malware einzusetzen, um kritische Infrastrukturen zu stören.
In den letzten Monaten wurden ukrainische Organisationen auch mit dem RomCom RAT und dem Vidar Stealer angegriffen, von denen sich herausstellte, dass der Vidar Stealer als Kanal für die Ransomware Somnia diente.
Anfang dieses Monats stellte das CERT-UA fest, dass staatliche Organisationen mit Phishing-E-Mails angegriffen wurden, die vorgaben, vom Staatlichen Notdienst der Ukraine zu stammen und waffenähnliche RAR-Archive enthielten, mit denen eine Delphi-basierte Backdoor namens DolphinCape installiert werden sollte.