犯罪组织UAC-0173将目标锁定为乌克兰公证处

乌克兰计算机应急响应小组（CERT-UA）警告称，犯罪组织UAC-0173正在针对乌克兰公证员发起新一轮攻击活动，使用远程访问木马DCRat（又名DarkCrystal RAT）进行攻击。

该活动始于2025年1月中旬，攻击链始于伪装成乌克兰司法部地方分支机构发送的钓鱼信息。这些信息包含指向托管在Cloudflare R2云存储服务上的可执行文件的链接（例如“HAKA3.exe”“2025年2月10日司法部第43613.1-03号命令.exe”“供您参考.exe”）。一旦用户启动这些可执行文件，系统就会感染DARKCRYSTAL RAT（DCRAT）恶意软件。

UAC-0173利用RDPWRAPPER和BORE工具启用远程访问、绕过用户账户控制（UAC）并使用NMAP扫描网络。攻击者依赖FIDDLER拦截凭据，并通过XWORM信息窃取程序窃取数据。政府专家还滥用受感染系统，使用SENDEMAIL发送恶意邮件。

CERT-UA在报告中指出：“通过这种方式获取公证员自动化工作站的初始访问权限后，攻击者会采取措施安装额外工具，特别是RDPWRAPPER，该工具实现了并行RDP会话功能，结合使用BORE工具，可以直接从互联网建立RDP连接到目标计算机。”报告还提到：“此外，攻击者还使用了绕过UAC（用户账户控制）机制的程序、NMAP网络扫描器、FIDDLER代理/嗅探器（用于拦截在国家注册机构Web界面中输入的身份验证数据）以及XWORM窃取程序（用于窃取登录凭据和密码，包括剪贴板中的内容以及通过键盘输入的内容）。”

在乌克兰公证员公会信息化、数字化转型和网络犯罪预防委员会的协助下，CERT-UA为潜在目标提供了增强网络安全的建议。CERT-UA与乌克兰公证员公会网络安全委员会合作，识别了乌克兰六个地区受感染的计算机，阻止了攻击，并为公证员提供了安全设置。

报告总结道：“因此，我们认为，乌克兰国家企业‘NAIS’在乌克兰国家警察局网络安全委员会的协助下，必要时可邀请CERT-UA参与，根据当前网络威胁形势，在公证员计算机层面和国家注册机构层面采取补偿性组织和技术措施。需要补充的是，犯罪活动的范围（至少在受益人方面）涉及乌克兰境内，因此，打击这一网络威胁显然需要乌克兰执法机构的资源参与。”报告还包含了攻击指标（IoCs），并呼吁：“我们敦促公证员在发现可疑活动时，立即通知乌克兰公证员公会和CERT-UA，以便采取应对措施。”