В Украине зафиксировали целевые кибератаки на оборонный сектор через популярный мессенджер

Правительственная команда реагирования на компьютерные чрезвычайные события CERT-UA зафиксировала случаи целевых кибератак на сотрудников предприятий оборонно-промышленного комплекса и представителей Сил обороны Украины.

В марте 2025 года в мессенджере Signal были обнаружены сообщения с архивами, содержащими отчет с результатами совещания. Для повышения доверия некоторые сообщения отправлялись от лиц из списка контактов, чьи учетные записи были повреждены.

Эти архивы обычно содержат файл с расширением '.pdf' и исполняемый файл под названием DarkTortilla. DarkTortilla - это криптор/лоадер, который используется для расшифровки и запуска программы для удаленного управления Dark Crystal RAT (DCRAT).

'Напоминаем, что данная активность отслеживается по идентификатору UAC-0200, как минимум, с лета 2024 года. В то же время, начиная с февраля 2025 года, содержание сообщений-ловушек касается БПЛА, средств РЭБ и т.д. Использование популярных мессенджеров, как на мобильных устройствах, так и на компьютерах, значительно расширяет поверхность атаки, в том числе за счет создания неконтролируемых (в контексте средств защиты) каналов обмена информацией', - сообщили в CERT-UA.