Группировка UAC-0247 атакует украинские клиники и госучреждения с целью кражи данных из браузеров и WhatsApp
С марта по апрель 2026 года группировка UAC-0247 атаковала украинские госучреждения и клиники через фишинговые письма о гуманитарной помощи. В ходе атак используется вредоносное ПО для удалённого управления, а также программы для кражи паролей, файлов cookie и данных из WhatsApp.
Команда реагирования на компьютерные чрезвычайные ситуации Украины (CERT-UA) раскрыла детали кампании, направленной против правительственных и муниципальных медицинских учреждений Украины, преимущественно поликлиник и больниц скорой помощи. Как сообщает издание The Hacker News со ссылкой на материалы компании, атаки, наблюдавшиеся с марта по апрель 2026 года, приписываются кластеру угроз UAC-0247.
Отправной точкой цепочки атак является электронное письмо под видом предложения гуманитарной помощи. Как сообщили в CERT-UA, оно побуждает получателя перейти по ссылке на легитимный сайт, скомпрометированный через XSS-уязвимость, либо на поддельный сайт, созданный с помощью ИИ. Цель — загрузить и запустить LNK-файл, который через «mshta.exe» выполняет удалённое HTA-приложение. Оно отображает поддельную форму для отвлечения внимания и загружает бинарный файл для внедрения шелл-кода в легитимный процесс (например, «runtimeBroker.exe»).
В материале также отмечается, что в недавних кампаниях зафиксировано использование двухступенчатого загрузчика, вторая ступень которого реализована в собственном (закрытом) формате исполняемых файлов с поддержкой секций кода, данных, импорта функций и релокации, а финальная полезная нагрузка сжата и зашифрована.
Одним из дропперов является TCP reverse shell или его аналог, отслеживаемый как RAVENSHELL, устанавливающий TCP-соединение с сервером управления для выполнения команд через «cmd.exe». На заражённую машину также загружаются семейство AGINGFLY (C#, удалённый контроль через WebSockets для запуска команд, кейлоггинга, загрузки файлов и выполнения дополнительных нагрузок) и PowerShell-скрипт SILENTLOOP с функциями выполнения команд, автообновления конфигурации, получения IP-адреса C2 из Telegram-канала и резервного переключения.
Помимо этого, как указывается в материале, атаки способствуют разведке, боковому перемещению и краже данных через развёртывание инструментов с открытым исходным кодом, включая:
- ChromElevator — обход защиты Chromium с привязкой к приложению для сбора cookie и паролей;
- ZAPiXDESK — расшифровка локальных баз WhatsApp Web;
- RustScan — сетевой сканер;
- Ligolo-Ng и Chisel — утилиты для туннелирования;
- XMRig — майнер криптовалюты.
В CERT-UA сообщили, что есть доказательства возможного нацеливания на представителей Сил обороны Украины через распространение вредоносных ZIP-архивов в Signal для доставки AGINGFLY с использованием техники DLL side-loading.
Для снижения риска в компании рекомендуют ограничить выполнение LNK, HTA и JS-файлов, а также утилит «mshta.exe», «powershell.exe» и «wscript.exe».
Ранее SecPost писал о том, что согласно отчету CERT-UA, во втором полугодии 2025 года количество кибератак на Украину сократилось на 4%. Однако давление не ослабло: атаки носят длительный системный характер с попытками закрепиться в инфраструктуре и вернуться в ранее скомпрометированные системы. Основными целями остаются сектор безопасности, госорганы и энергетика, при этом злоумышленники все чаще используют новые сценарии, включая zero-click атаки через почтовые сервисы.
Читайте также
