ウクライナコンピュータ緊急対応チーム (CERT-UA: Computer Emergency Response Team of Ukraine)は6月27日(現地時間)、ウクライナ国内においてマルウェア「Dark Crystal RAT」を使用した大規模なサイバーを確認したと発表した。レポートには攻撃者に関する情報は記載されていないが、CERT-UAでは、ウクライナの通信事業者と通信プロバイダーを狙った攻撃と想定しているという。
Dark Crystal RATは、感染した標的のPCにバックドアを仕掛け、リモートのC&C(Command and Control)サーバと通信して機密情報の窃取や任意のシェルコマンドの実行、ファイルの転送などを行うマルウェアである。主にログインなどの認証情報の盗み出しを目的として使用される「クレデンシャル・スティーラー」として知られている。
ウクライナで報告されている攻撃では、最初に標的のユーザーに対して添付ファイル付きの電子メールが送信され、その添付ファイルを開くとPowerShellスクリプトが実行されてDark Crystal RATのダウンロードと実行が行われるという。添付ファイルはRARアーカイブ化されており、行方不明の兵士を持つ家族に対する法的援助を想起させるファイル名が付けられている。RARアーカイブには「Algorithm_LegalAid.xlsm」という名前の悪意のあるマクロ付きのExcelファイルが含まれていて、これを開くとマルウェアへの感染プロセスが起動される。
ロシアによるウクライナへの侵攻が開始されて以来、ウクライナの重要なインフラ設備を持つ組織に対するサイバー攻撃が続いており、CERT-UAでは欧米の機関とも協力しながら警戒を強めている。