Компьютерная команда реагирования Украины CERT-UA опубликовала подробности о новой целевой киберкампании, нацеленной преимущественно на органы государственной власти и коммунальные медицинские учреждения, включая клиники и службы экстренной помощи. Цель злоумышленников — скрытно закрепиться в инфраструктуре, провести разведку и похитить конфиденциальные данные, в том числе из браузеров на базе Chromium и мессенджера WhatsApp.
Кампания UAC‑0247: масштаб и цели атак
Зафиксированная активность относится к группе угроз, обозначенной как UAC‑0247, и, по данным CERT-UA, наблюдалась в период с марта по апрель 2026 года. Точная география и происхождение оператора пока не установлены, однако характер операций и выбор целей свидетельствуют о прицельной работе против государственного сектора и сферы здравоохранения.
В ряде инцидентов обнаружены признаки того, что под удар попали и представители Сил обороны Украины. В их случае злоумышленники использовали отдельный канал доставки вредоносного ПО — архивы формата ZIP, распространяемые через защищённый мессенджер Signal.
Фишинговый вектор: «гуманитарная помощь» как приманка
Начальная стадия атаки строится вокруг фишинговых писем, которые маскируются под предложения о гуманитарной помощи. Адресатам предлагается перейти по ссылке для уточнения деталей «поставок» или регистрации на получение помощи.
Переход по ссылке перенаправляет жертву либо на легитимный сайт, скомпрометированный через уязвимость Cross-Site Scripting (XSS), либо на фальшивый ресурс, созданный с помощью инструментов искусственного интеллекта. В обоих случаях страница подталкивает пользователя к загрузке и запуску файла ярлыка Windows (LNK).
Цепочка заражения: LNK, HTA и mshta.exe
Запускаемый ярлык LNK инициирует выполнение удалённого HTML-приложения (HTA-файл) с использованием штатной утилиты Windows mshta.exe. Такой подход позволяет злоумышленникам опираться на легитимный системный инструмент, снижая вероятность детектирования на ранней стадии.
HTA-приложение отображает пользователю фиктивную форму или документ, отвлекая внимание, а параллельно загружает двоичный файл, который внедряет вредоносный шелл-код в легитимный процесс, например runtimeBroker.exe. Это обеспечивает скрытность и усложняет анализ инцидента.
CERT-UA отмечает использование двухстадийного загрузчика: первая стадия подгружает проприетарный исполняемый формат со своими секциями кода и данных, импортом функций из динамических библиотек и механизмом релокации. Финальный полезный нагрузочный модуль при этом дополнительно сжимается и шифруется, что заметно осложняет его статический анализ и сигнатурное обнаружение.
RAVENSHELL, AGINGFLY и SILENTLOOP: инструментарий злоумышленников
Одним из ключевых компонентов обнаружена утилита типа TCP reverse shell, отслеживаемая как RAVENSHELL. Этот модуль устанавливает исходящее TCP-соединение с сервером управления и позволяет операторам удалённо исполнять команды на заражённом хосте через стандартную оболочку Windows cmd.exe.
Дополнительно на скомпрометированные машины загружается семейство вредоносных программ AGINGFLY и PowerShell-скрипт SILENTLOOP. SILENTLOOP содержит функции для выполнения команд, автоматического обновления конфигурации и получения актуального IP-адреса сервера управления из Telegram-канала. При недоступности основного канала предусмотрены резервные способы определения адреса command-and-control (C2)-инфраструктуры.
Разработанный на C# AGINGFLY обеспечивает полный дистанционный контроль над заражённой системой. Взаимодействие с C2-сервером реализовано через WebSockets, что делает трафик более гибким и труднее отличимым от легитимного. Набор команд включает запуск произвольных процессов, работу кейлоггера, загрузку файлов и развёртывание дополнительных модулей.
Анализ примерно десятка инцидентов показал, что после закрепления злоумышленники проводят разведку сети, боковое перемещение и кражу учётных данных, в том числе из Chromium-браузеров и WhatsApp. Для этого активно применяются открытые инструменты и скрипты, адаптированные под инфраструктуру жертвы.
Дополнительные векторы: Signal и DLL side-loading
По данным CERT-UA, для атак на представителей Сил обороны использовалась отдельная тактика доставки. Жертвам через Signal направлялись вредоносные ZIP-архивы, внутри которых находились файлы, подготовленные для эксплуатации техники DLL side-loading. В этой схеме легитимное приложение загружает подменённую библиотеку DLL, что позволяет незаметно внедрить и запустить AGINGFLY в доверенном контексте процесса.
Рекомендации по защите и снижению рисков
Эксперты CERT-UA рекомендуют организациям минимизировать атакующую поверхность за счёт ограничения или блокировки выполнения следующих типов файлов и инструментов: LNK, HTA, JS, а также системных утилит mshta.exe, powershell.exe и wscript.exe, за исключением чётко обоснованных сценариев использования.
Дополнительно целесообразно внедрить белые списки приложений (Application Allowlisting), использовать современные EDR-решения для выявления аномальной активности процессов и сетевых подключений, сегментировать сеть для ограничения бокового перемещения, а также регулярно обучать сотрудников распознаванию фишинговых писем, особенно маскирующихся под гуманитарные или партнёрские инициативы.
Целевая кампания UAC‑0247 демонстрирует, как сочетание фишинга, злоупотребления легитимными утилитами Windows и продвинутых загрузчиков позволяет атакующим обходить традиционные средства защиты и получать доступ к критически важным данным. Организациям государственного сектора, медучреждениям и оборонным структурам важно оперативно обновить политики безопасности, пересмотреть правила работы с вложениями и скриптами, усилить мониторинг подозрительной активности и регулярно отслеживать предупреждения CERT-UA и других профильных центров. Чем раньше такие атаки будут выявлены и заблокированы, тем меньше шансов у злоумышленников использовать украденные данные против инфраструктуры и граждан.
