PLUGGYAPE малициозен софтвер користи Signal и WhatsApp за таргетирање на украинските одбранбени сили

Компјутерскиот тим за итни одговори на Украина (CERT-UA) објави детали за нови сајбер напади насочени кон нејзините одбранбени сили со малициозен софтвер познат како PLUGGYAPE, во периодот помеѓу октомври и декември 2025 година.

Активноста со средна сигурност ѝ се припишува на руска хакерска група следена под името Void Blizzard (позната и како Laundry Bear или UAC-0190). Се верува дека заканувачкиот актер е активен најмалку од април 2024 година.

Синџирите на напади што го дистрибуираат малициозниот софтвер ги користат инстант-месинџерите Signal и WhatsApp како вектори, при што заканувачите се претставуваат како хуманитарни организации за да ги убедат целите да кликнат на навидум безопасен линк („harthulp-ua[.]com“ или „solidarity-help[.]org“) кој ја имитира фондацијата и да преземат архивска датотека заштитена со лозинка.

Архивите содржат извршна датотека креирана со PyInstaller, која на крај доведува до инсталирање на PLUGGYAPE. CERT-UA соопшти дека последователните итерации на задната врата додале обфускација и проверки против анализа за да се спречи извршување на артефактите во виртуелна средина. Напишан на Python, PLUGGYAPE воспоставува комуникација со оддалечен сервер преку WebSocket или Message Queuing Telemetry Transport (MQTT), овозможувајќи им на операторите да извршуваат произволен код на компромитираните хостови. Поддршката за комуникација преку MQTT протоколот е додадена во декември 2025 година.

Покрај тоа, адресите на командно-контролниот (C2) сервер се преземаат од надворешни paste сервиси како rentry[.]co и pastebin[.]com, каде што се зачувани во base64-кодирана форма, наместо доменот директно да биде вграден во самиот малициозен софтвер. Ова им овозможува на напаѓачите да одржат оперативна безбедност и отпорност, дозволувајќи им да ги ажурираат C2 серверите во реално време во ситуации кога оригиналната инфраструктура е откриена и отстранета.

„Почетната интеракција со целта на сајбер нападот сè почесто се спроведува со користење легитимни сметки и телефонски броеви на украински мобилни оператори, со употреба на украинскиот јазик, аудио и видео комуникација, при што напаѓачот може да демонстрира детално и релевантно познавање за поединецот, организацијата и нејзините активности“, соопшти CERT-UA.

„Широко користените месинџери достапни на мобилни уреди и персонални компјутери де факто стануваат најчестиот канал за испорака на софтверски алатки за сајбер закани.“

Во последните месеци, агенцијата за сајбер безбедност исто така откри дека кластер на закани следен под ознаката UAC-0239 испраќал фишинг-мејлови од адреси на UKR[.]net и Gmail кои содржеле линкови до VHD-датотека (или директно како прилог), со што се отвора патот за крадец на податоци базиран на Go, наречен FILEMESS, кој собира датотеки што одговараат на одредени екстензии и ги ексфилтрира преку Telegram.

Исто така е испорачан и open-source C2 фрејмворк наречен OrcaC2, кој овозможува манипулација со системот, пренос на датотеки, снимање на притисоци на тастатура (keylogging) и далечинско извршување команди. Се наведува дека активноста била насочена кон украинските одбранбени сили и локалните власти.

Образовните институции и државните органи во Украина исто така биле цел на уште една spear-phishing кампања оркестрирана од UAC-0241, која користи ZIP архиви што содржат Windows кратенка (LNK) датотека, чие отворање го активира извршувањето на HTML апликација (HTA) со помош на „mshta.exe“.

HTA payload-от, пак, стартува JavaScript дизајниран да преземе и изврши PowerShell скрипта, која потоа испорачува open-source алатка наречена LaZagne за поврат на зачувани лозинки и Go задна врата со кодно име GAMYBEAR, која може да прима и извршува влезни команди од сервер и да ги пренесува резултатите назад во Base64-кодирана форма преку HTTP.

Извори:

• The Hacker News – PLUGGYAPE Malware Uses Signal and WhatsApp to Target Ukrainian Defense Forces The Hacker News