Стежити 
Фішинг залишається однією з найефективніших тактик у підручнику кіберзлочинця, особливо коли зловмисники використовують термінові гуманітарні теми, довірені онлайн-ресурси та легітимні системні інструменти для підвищення залучення жертв. Європол також зазначає, що фішинг продовжує служити основним вектором доставки для шкідливого програмного забезпечення, яке краде дані. Цей патерн чітко відображається в останній діяльності, відстежуваній CERT-UA, де учасники загроз використовували приманки на тему гуманітарної допомоги та багатоступеневу доставку шкідливих програм для націлювання на українські організації.
У статті CERT-UA, дослідники описали кампанію UAC-0247, націлену на органи місцевого самоврядування, комунальні медичні установи та, ймовірно, представників Збройних сил України. Операція зрештою розгорнула AGINGFLY та пов’язані зі шкідливими інструментами, поєднуючи фішинг, доставку через оманливі веб-сайти та зловживання легітимними утилітами Windows для встановлення доступу та підтримки подальших компрометацій.
Останні звіти CERT-UA висвітлюють ще одну хвилю вторгнень, пов’язаних з фішингом, націлених на цивільний і, потенційно, оборонний суміжний сектори України. У кампанії, описаній у статті, нападники використовували електронні листи з темами на гуманітарну допомогу, щоб заманити жертв у відкриття шкідливого контенту, який урешті розгорнув AGINGFLY, сімейство шкідливих програм, пов’язаних із віддаленим доступом, крадіжкою облікових даних і подальшою діяльністю після компрометації. Серед спостережених цілей були органи місцевого самоврядування, комунальні медичні установи, включаючи клінічні та екстрені лікарні, а також ймовірні особи, пов’язані з операціями FPV-дронів.
Зареєструйтесь на платформі SOC Prime, щоб активно захищати свою організацію від атак UAC-0247. Просто натисніть “Explore Detections” нижче і отримайте доступ до відповідної стеки правил виявлення, збагаченої AI-новітньою CTI, мапованої до фреймворку MITRE ATT&CK®, і сумісної з широким спектром технологій SIEM, EDR і Data Lake.
Команди безпеки можуть шукати на ринку виявлення загроз за допомогою тегу “UAC-0247” для ідентифікації відповідних детекцій та моніторингу пов’язаних оновлень контенту. Кіберзахисники також можуть покладатися на Uncoder AI для перетворення необробленої розвідки загроз у оптимізовані для продуктивності запити, документування та покращення логіки правил, а також для генерації Attack Flows на основі останніх звітів CERT-UA.
Аналіз атак UAC-0247 зі схемами фішингу, що включають теми гуманітарної допомоги
За даними CERT-UA, ланцюг атак розпочався з фішингових електронних листів, замаскованих під пропозиції гуманітарної допомоги. Жертві було запропоновано натиснути посилання, яке перенаправляло або на легітимний веб-сайт, компрометований за допомогою міжсайтового скриптингу (XSS), або на фальшивий сайт, згенерований за допомогою AI інструментів. В обох сценаріях метою було переконати жертву завантажити і відкрити архів, що містить шкідливий файл LNK.
Після запуску ярлик зловживав mshta.exe для отримання та виконання віддаленого HTA файлу. HTA відображував відволікаючу форму, щоб відволікти жертву, водночас завантажуючи виконуваний файл, який вводив шеллкод у легітимний процес, такий як RuntimeBroker.exe. CERT-UA також зазначив, що більш пізні етапи кампанії покладались на двоступеневе завантаження, причому другий етап використовував власний формат виконуваного файлу, а фінальний корисний вантаж додатково стискався та шифрувався для ускладнення виявлення та аналізу.
Серед компонентів наступного етапу, ідентифікованих у кампанії, були RAVENSHELL, що діяв як стейджер стилю реверс-шелл, SILENTLOOP, інструмент на базі PowerShell, здатний виконувати команди і отримувати дані для управління і контролю, та AGINGFLY, основне сімейство шкідливих програм, яке використовувалось в операції. Звітність, пов’язана з CERT-UA, вказує, що AGINGFLY розроблено для дистанційного управління, крадіжки даних і подальшої компрометаційної діяльності.
Кампанія також підтримувала крадіжку облікових даних, розвідку та бічний рух. Дослідники спостерігали використання інструментарію для вилучення даних з браузерів на базі Chromium, доступ до даних, пов’язаних з обміном повідомленнями, сканування внутрішніх мереж і тунелювання трафіку через скомпрометовані середовища. В одному з розслідуваних випадків судові дані свідчили про те, що представники Збройних сил України могли стати ціллю при використанні шкідливих ZIP-архівів, розповсюджуваних через Signal і розроблених для розгортання AGINGFLY через завантаження DLL.
Щоб зменшити ризик від цієї діяльності, CERT-UA рекомендує обмежити виконання небезпечних типів файлів, таких як LNK, HTA та JS, а також обмежити або ретельно контролювати використання рідних утиліт Windows, які часто зловживаються у ланцюгу інфекцій, включаючи mshta.exe, powershell.exe і wscript.exe.
Контекст MITRE ATT&CK
Використання MITRE ATT&CK допомагає з’ясувати контекст останньої активності UAC-0247. Базуючись на звітах про TTPs, найбільш актуальними техніками ймовірно є фішинг: посилання на спам (T1566.002), інтерпретатор команд та скриптів, ін’єкція у процес (T1055), веб-протоколи/веб-сокети для C2, доступ до облікових даних та бічний рух за допомогою тунелювання та проксі-інструментарію. Це картування відображає фішингові приманки, оманливу веб-доставку, виконання LNK-to-HTA, ін’єкцію шеллкоду, розгортання AGINGFLY та подальшу крадіжку облікових даних і внутрішню розвідку.