UAC-0247 ги таргетира украинските клиники и владата во кампања со малициозен софтвер за кражба на податоци

Тимот за одговор при компјутерски инциденти на Украина (CERT-UA) објави детали за нова кампања насочена кон владини и општински здравствени институции, главно клиники и итни болници, со цел испорака на малициозен софтвер способен да краде чувствителни податоци од веб-прелистувачи базирани на Chromium и од WhatsApp.

Активноста, која била забележана помеѓу март и април 2026 година, е припишана на заканувачка група означена како UAC-0247. Потеклото на кампањата засега е непознато.

Според CERT-UA, почетната точка на нападот е е-пошта која се претставува како предлог за хуманитарна помош, поттикнувајќи ги примателите да кликнат на линк што ги пренасочува кон легитимна веб-страница компромитирана преку XSS (cross-site scripting) ранливост или кон лажна страница создадена со помош на алатки за вештачка интелигенција (AI).

Без разлика за која страница станува збор, целта е преземање и извршување на Windows Shortcut (LNK) датотека, која потоа извршува далечинска HTML апликација (HTA) користејќи ја вградената Windows алатка „mshta.exe“. HTA датотеката прикажува лажна форма за да го одвлече вниманието на жртвата, додека истовремено презема бинарна датотека одговорна за вбризгување shellcode во легитимен процес (на пр. „runtimeBroker.exe“).

„Во исто време, во поновите кампањи е забележана употреба на двостепен loader, при што втората фаза е имплементирана со користење на сопствен извршен формат (со целосна поддршка за code и data секции, увоз на функции од динамички библиотеки и релокација), а финалниот payload е дополнително компресиран и енкриптиран“, соопшти CERT-UA.

Еден од „stager“-ите е алатка позната како TCP reverse shell или нејзина еквивалентна варијанта, означена како RAVENSHELL, која воспоставува TCP конекција со сервер за управување за да прима команди што се извршуваат на заразениот систем преку „cmd.exe“.

На заразената машина се презема и фамилија на малициозен софтвер наречена AGINGFLY, како и PowerShell скрипта позната како SILENTLOOP, која содржи повеќе функции за извршување команди, автоматско ажурирање на конфигурацијата и добивање на тековната IP адреса на серверот за управување преку Telegram канал, со можност за користење алтернативни механизми за утврдување на адресата на командно-контролниот (C2) сервер.

Развиен со C#, AGINGFLY е дизајниран да овозможи далечинска контрола на погодените системи. Тој комуницира со C2 сервер преку WebSockets за да презема команди кои му овозможуваат да извршува команди, да активира keylogger, да презема датотеки и да извршува дополнителни малициозни компоненти.

Истрага на околу десетина инциденти откри дека овие напади овозможуваат извидување, латерално движење и кражба на акредитиви и други чувствителни податоци од WhatsApp и веб-прелистувачи базирани на Chromium. Ова се постигнува со користење на различни алатки со отворен код, како што се следниве:

• ChromElevator, програма дизајнирана да ги заобиколи заштитите на Chromium поврзани со енкрипција на апликации (ABE) и да собира колачиња (cookies) и зачувани лозинки
• ZAPiXDESK, форензичка алатка за извлекување и декрипција на локални бази на податоци за WhatsApp Web
• RustScan, мрежен скенер
• Ligolo-Ng, лесна алатка за воспоставување тунели преку reverse TCP/TLS конекции
• Chisel, алатка за тунелирање на мрежен сообраќај преку TCP/UDP
• XMRig, рудар за криптовалути

Агенцијата соопшти дека постојат докази кои укажуваат дека претставници на Одбранбените сили на Украина можеби исто така биле цел на оваа кампања. Ова се темели на дистрибуцијата на малициозни ZIP архиви преку Signal, дизајнирани да го инсталираат AGINGFLY со користење на техниката DLL side-loading.

За намалување на ризикот од оваа закана и минимизирање на површината за напад, се препорачува ограничување на извршувањето на LNK, HTA и JS датотеки, како и на легитимни алатки како „mshta.exe“, „powershell.exe“ и „wscript.exe“.

Извори:

• The Hacker News – UAC-0247 Targets Ukrainian Clinics and Government in Data-Theft Malware Campaign The Hacker News