Українська команда реагування на комп’ютерні надзвичайні події CERT-UA оприлюднила деталі нової цільової кібератаки, орієнтованої на органи державної влади, комунальні медичні заклади, включно з лікарнями та службами екстреної допомоги, а також окремі підрозділи Сил оборони. Мета зловмисників — тиха присутність в інфраструктурі, збір розвідданих та викрадення конфіденційної інформації, зокрема даних браузерів на базі Chromium та месенджера WhatsApp.
Кампанія UAC‑0247: масштаб і профіль цілей
За даними CERT-UA, зафіксована активність віднесена до групи загроз UAC‑0247 і спостерігається у період з березня по квітень 2026 року. Точне походження оператора наразі не встановлене, однак вибір жертв і техніки атаки вказують на цілеспрямовану роботу проти державного сектору та сфери охорони здоров’я України. Саме ці галузі зберігають значні обсяги чутливих персональних та службових даних і мають критичне значення в умовах війни.
У низці інцидентів виявлено також спроби компрометації представників Сил оборони України. Для них застосовувався окремий канал доставки шкідливого ПЗ — ZIP-архіви, які розповсюджувалися через захищений месенджер Signal. Такий підхід зменшує підозри та дозволяє оминати традиційні поштові фільтри.
Фішингові листи про гуманітарну допомогу як стартовий вектор атаки
Початкова стадія кібератаки базується на цільовому фішингу. Жертвам приходять листи з пропозиціями щодо нібито оформлення або уточнення деталей гуманітарної допомоги. Для підтвердження даних чи реєстрації користувача просять перейти за посиланням.
Після переходу користувача перенаправляють або на легітимний, але скомпрометований через уразливість Cross-Site Scripting (XSS) вебсайт, або на спеціально створений фішинговий ресурс, сформований із використанням інструментів штучного інтелекту. В обох випадках сторінка спонукає завантажити та запустити ярлик Windows (LNK), що й запускає подальший ланцюжок зараження. За оцінками галузевих звітів, саме фішинг залишається основним початковим вектором у більшості успішних атак, і цей кейс є наочним підтвердженням тенденції.
Ланцюжок зараження: LNK, HTA, mshta.exe та двостадійний завантажувач
Запуск шкідливого файлу LNK активує виконання віддаленого HTML-додатка (HTA-файлу) за допомогою штатної утиліти Windows mshta.exe. Зловмисники свідомо користуються легітимними системними інструментами (так звані Living off the Land Binaries, LOLBins), щоб знизити ймовірність виявлення на ранньому етапі стандартними антивірусами.
HTA-додаток показує користувачу фіктивну форму чи документ, відволікаючи увагу, але паралельно завантажує двійковий файл, який впроваджує шкідливий шел-код у легітимний процес, наприклад runtimeBroker.exe. CERT-UA фіксує використання двостадійного завантажувача: перша стадія підтягує пропрієтарний формат із власними секціями коду та даних, імпортом функцій із бібліотек та механізмом релокації, тоді як фінальна корисна нагрузка додатково стиснута та зашифрована. Це ускладнює статичний аналіз і сигнатурне виявлення навіть для просунутих систем захисту.
RAVENSHELL, AGINGFLY, SILENTLOOP: арсенал зловмисників
RAVENSHELL: прихований доступ до командного рядка
Один із ключових компонентів кампанії — TCP reverse shell, який відстежується як RAVENSHELL. Він встановлює вихідне TCP-з’єднання з сервером управління (C2), після чого оператори можуть виконувати команди на зараженому хості через стандартну оболонку cmd.exe. Такий механізм забезпечує стабільний дистанційний контроль та дає змогу розгортати додаткові інструменти.
SILENTLOOP: гнучке управління через Telegram
На скомпрометованих системах також виявлено PowerShell-скрипт SILENTLOOP, що містить функції для виконання команд, автоматичного оновлення конфігурації та отримання актуальної IP-адреси C2-сервера з Telegram-каналу. У разі недоступності основного каналу передбачені резервні способи визначення адреси інфраструктури управління, що підвищує стійкість кампанії до блокувань.
AGINGFLY: повнофункціональний бекдор на C#
Основним інструментом віддаленого керування виступає розроблений мовою C# модуль AGINGFLY. Він взаємодіє з C2-сервером через WebSockets, роблячи трафік схожим на легітимний вебобмін. Набір команд дозволяє зловмисникам запускати довільні процеси, використовувати кейлогер, завантажувати та вивантажувати файли, розгортаючи додаткові модулі для подальшої розвідки та закріплення в мережі.
Аналіз кількох інцидентів показує, що після успішного проникнення атакувальники проводять розвідку мережі, бічний рух та викрадення облікових даних, включаючи дані із Chromium-браузерів і месенджера WhatsApp. Для цього активно застосовуються як власні засоби, так і адаптовані відкриті утиліти.
Додаткові вектори: атаки через Signal і DLL side-loading
Для ураження представників оборонного сектору зловмисники використовують окрему тактику доставки. Через месенджер Signal надсилаються ZIP-архіви з файлами, підготовленими для експлуатації техніки DLL side-loading. У цій схемі легітимний додаток завантажує підмінений DLL-файл, що дозволяє непомітно впровадити й виконати модуль AGINGFLY у довіреному контексті процесу. Такий підхід істотно ускладнює виявлення, оскільки зловмисний код працює «під прикриттям» відомого застосунку.
Рекомендації CERT-UA: як зменшити ризики цільових атак
CERT-UA радить організаціям державного та медичного сектору максимально звузити атакувальну поверхню шляхом обмеження або блокування виконання таких об’єктів і інструментів, як файли LNK, HTA, JS, а також системні утиліти mshta.exe, powershell.exe і wscript.exe, за винятком чітко регламентованих та документованих сценаріїв використання.
Додатково рекомендується впровадити білі списки застосунків (Application Allowlisting), використовувати сучасні EDR-рішення для виявлення аномальної активності процесів та мережевих з’єднань, проводити сегментацію мережі для обмеження бічного руху, а також регулярно навчати персонал розпізнаванню фішингових листів про гуманітарну або партнерську допомогу. Важливо постійно відстежувати попередження CERT-UA та інших профільних центрів, оновлювати політики безпеки, правила обробки вкладень і скриптів та оперативно реагувати на кожен підозрілий інцидент.
Цільова кампанія UAC‑0247 демонструє, як поєднання фішингу, зловживання легітимними системними утилітами Windows і складних завантажувачів дає змогу обійти класичні засоби захисту та отримати доступ до критично важливих даних. Чим раніше такі атаки будуть виявлені й заблоковані, тим менше шансів у зловмисників використати викрадену інформацію проти інфраструктури й громадян. Організаціям варто вже зараз переглянути свою стратегію кібербезпеки, посилити моніторинг та інвестувати у підготовку співробітників, адже саме людський фактор і базова кібергігієна часто стають вирішальними у протидії подібним кампаніям.
