Die ukrainische Computer-Notfallgruppe CERT-UA hat Details zu einer neuen, hochgradig zielgerichteten Cyberkampagne UAC-0247 veröffentlicht. Die Angriffe richten sich vor allem gegen staatliche Behörden sowie kommunale medizinische Einrichtungen – darunter Kliniken und Notfalldienste – und zielen auf verdeckte Persistenz, Spionage und Datendiebstahl, einschliesslich Zugangsdaten aus Chromium-basierten Browsern und dem Messenger WhatsApp.
Gezielte Cyberkampagne UAC-0247 gegen Staat und Gesundheitswesen
Nach Angaben von CERT-UA wurde die Aktivität der Bedrohungsgruppe UAC-0247 im Zeitraum von März bis April 2026 beobachtet. Die genaue Herkunft der Angreifer ist bislang unklar, jedoch spricht die Auswahl der Ziele eindeutig für eine strategische Ausrichtung auf den staatlichen Sektor und kritische Gesundheitsinfrastrukturen. In mehreren Fällen wurden zudem Angehörige der ukrainischen Verteidigungskräfte ins Visier genommen.
Taktiken, Opferprofil und Zeitraum der Angriffe
Die Kampagne folgt einem Muster, das in aktuellen Bedrohungsberichten (z. B. von ENISA und in MITRE ATT&CK-Analysen) häufig beobachtet wird: zunächst Phishing und initialer Zugriff, anschliessend Persistenz, Privilegienausweitung, laterale Bewegung und systematische Exfiltration sensibler Daten. Laut globalen Studien wie dem Verizon Data Breach Investigations Report gehen über 70 % erfolgreicher Cyberangriffe mindestens teilweise auf den Faktor Mensch zurück – UAC-0247 nutzt diese Schwachstelle konsequent aus.
Phishing mit „humanitaerer Hilfe“ und Missbrauch von Windows-LNK-Dateien
Die Angriffskette beginnt mit gezielten Phishing-E-Mails, die als Angebote für humanitaere Hilfe getarnt sind. Empfänger werden aufgefordert, einem Link zu folgen, um Lieferdetails zu prüfen oder sich für Hilfslieferungen zu registrieren. Diese thematische Tarnung ist besonders wirksam, weil sie sich an reale Notlagen und Hilfsprogramme anlehnt und damit Vertrauen erzeugt.
Der Link leitet Betroffene entweder auf eine durch Cross-Site-Scripting (XSS) kompromittierte legitime Website oder auf eine täuschend echt wirkende, mittels Kuenstlicher Intelligenz generierte Fake-Seite. In beiden Fällen werden Anwender dazu verleitet, eine Windows-Verknüpfungsdatei (LNK) herunterzuladen und auszuführen – ein bekannter, aber nach wie vor erfolgreicher Vektor für initiale Infektionen.
Infektionskette mit HTA, mshta.exe und verschleierten Payloads
Die ausgeführte LNK-Datei startet im Hintergrund ein HTML Application (HTA) über das legitime Windows-Tool mshta.exe. Diese Technik nutzt ein sogenanntes „Living-off-the-Land Binary“ (LOLBIN): Ein legitimes Systemprogramm wird für schädliche Zwecke missbraucht und umgeht damit häufig klassische Signatur-basierte Schutzmechanismen.
Das HTA-Skript zeigt dem Benutzer ein harmlos wirkendes Formular oder Dokument, lädt gleichzeitig jedoch eine Binärdatei nach, die Schadcode in einen legitimen Prozess wie runtimeBroker.exe injiziert. CERT-UA beschreibt einen zweistufigen Loader, dessen zweite Stufe ein proprietäres Format mit eigenen Code- und Datensektionen, Importtabellen und Relocation-Mechanismen verwendet. Die eigentliche Nutzlast ist zusätzlich komprimiert und verschlüsselt, was statische Analysen und signaturbasierte Erkennung deutlich erschwert.
RAVENSHELL, AGINGFLY und SILENTLOOP: modulares Angriffsarsenal
Auf kompromittierten Systemen kommt ein Set spezialisierter Werkzeuge zum Einsatz. Ein zentraler Baustein ist der TCP-Reverse-Shell-Trojaner RAVENSHELL, der ein ausgehendes TCP-Verbindung zum Command-and-Control (C2)-Server aufbaut und den Angreifern die Remote-Ausführung von Befehlen über die Windows-Shell cmd.exe ermöglicht.
Ergänzend wird die C#-basierte Malware AGINGFLY eingesetzt, die als Remote-Access-Trojaner (RAT) fungiert. Die Kommunikation erfolgt über WebSockets, wodurch sich der C2-Traffic leichter in regulären Webverkehr einbetten lässt. AGINGFLY unterstützt unter anderem das Starten beliebiger Prozesse, das Nachladen weiterer Module, Dateitransfer sowie Keylogging.
Der PowerShell-Skript SILENTLOOP dient als flexibler Kontroll- und Update-Mechanismus. Er kann Kommandos ausführen, Konfigurationen automatisch aktualisieren und die aktuelle IP-Adresse der C2-Infrastruktur über einen Telegram-Kanal abrufen. Für den Fall von Störungen sind Fallback-Mechanismen implementiert, um alternative C2-Adressen zu ermitteln. In mehreren analysierten Vorfällen nutzten die Angreifer diese Werkzeuge, um Netzwerkaufklärung, laterale Bewegung und den Diebstahl von Zugangsdaten, insbesondere aus Chromium-Browsern und WhatsApp, durchzuführen.
Signal-basierte Angriffe und DLL Side-Loading gegen Streitkraefte
Für Ziele innerhalb der ukrainischen Verteidigungskräfte setzten die Angreifer laut CERT-UA auf einen abweichenden Infektionsvektor. Über den verschlüsselten Messenger Signal wurden schädliche ZIP-Archive verteilt, die Dateien für die Ausnutzung von DLL Side-Loading enthielten. Dabei lädt eine legitime Anwendung eine manipulierte DLL-Bibliothek nach, welche im Kontext des vertrauenswürdigen Prozesses ausgeführt wird. Auf diese Weise konnte AGINGFLY unauffällig eingeschleust und mit den Rechten des Zielprozesses betrieben werden – eine Technik, die auch in anderen APT-Kampagnen zunehmend beobachtet wird.
Praevention: Technische Haertung und Security-Awareness kombinieren
CERT-UA empfiehlt Organisationen, die Angriffsfläche für Skript- und Shortcut-basierte Angriffe konsequent zu reduzieren. Dazu gehört das Blockieren oder strikte Einschränken von LNK-, HTA- und JS-Dateien sowie der Windows-Werkzeuge mshta.exe, powershell.exe und wscript.exe, soweit deren Einsatz nicht fachlich zwingend erforderlich ist. Ergänzend sollten Application-Allowlisting-Lösungen eingesetzt werden, die nur explizit freigegebene Programme zulassen.
Moderne Endpoint-Detection-and-Response (EDR)-Systeme können verdächtige Prozessketten, ungewöhnliche PowerShell-Aufrufe oder Reverse-Shell-Verbindungen erkennen und automatisiert eindämmen. Ebenso wichtig ist eine Netzwerksegmentierung, um laterale Bewegungen zu erschweren, sowie ein strukturiertes Patch-Management zur Schliessung von XSS- und anderen Web-Schwachstellen. Praxisbeispiele aus Krankenhäusern und Behörden zeigen, dass Organisationen mit segmentierten Netzen und konsequentem Allowlisting Ransomware- und Spionagekampagnen deutlich besser eindämmen konnten.
Organisationen im staatlichen Umfeld, im Gesundheitswesen und in der Verteidigung sollten ihre Sicherheitsrichtlinien, E-Mail-Gateways und Schulungsprogramme kurzfristig prüfen und anpassen. Insbesondere Phishing-Mails mit Bezug zu „humanitaerer Hilfe“ oder scheinbar offiziellen Partnerinitiativen verdienen erhöhte Aufmerksamkeit. Wer Mitarbeitende regelmässig zu Social-Engineering und der Erkennung von Schadanhängen sensibilisiert und technische Kontrollen wie EDR und Allowlisting konsequent kombiniert, reduziert das Risiko, dass Kampagnen wie UAC-0247 unbemerkt in kritische Infrastrukturen eindringen.
