Стежити 
З січня 2026 року CERT-UA відстежує серію вторгнень, які приписуються UAC-0252 та засновані на інфостійлерах SHADOWSNIFF і SALATSTEALER. Кампанії покладаються на добре підготовлені фішингові приманки, розміщення навантаження на легітимній інфраструктурі та виконання маскованих EXE файлів, виконане користувачами.
Виявлення атак UAC-0252, висвітлених у CERT-UA#20032
Згідно з Phishing Trends Q2 2025 дослідженням Check Point, фішинг залишається основним інструментом для кіберзлочинців, а імітація широко довірених, високо використовуваних брендів продовжує зростати. На тлі більш скоординованих та складних операцій, спрямованих на критичну інфраструктуру та урядові організації, CISA опублікувала свій Міжнародний стратегічний план на 2025–2026 роки для просування глобального зниження ризиків та покращення колективної стійкості.
Зареєструйтеся на платформу SOC Prime щоб проактивно захищати вашу організацію від атак UAC-0252. Просто натисніть Дослідження Виявлень нижче і отримайте доступ до відповідного стеку правил виявлень, збагаченого штучним інтелектом CTI, зіставленого з рамкою MITRE ATT&CK®, і сумісного з широким спектром технологій SIEM, EDR та Data Lake.
Експерти з безпеки можуть також використовувати тег “CERT-UA#20032” на основі відповідного ідентифікатора сповіщення CERT-UA для прямого пошуку стеку виявлень і відстеження будь-яких змін в контенті. Для отримання додаткових правил для виявлення атак, пов’язаних з противником, захисники кібербезпеки можуть шукати в бібліотеці Threat Detection Marketplace, використовуючи тег “UAC-0252“.
Користувачі SOC Prime також можуть покладатися на Uncoder AI для створення виявлень з сировинних звітів про загрози, документування і оптимізації коду правил, а також генерації Attack Flows за допомогою декількох кліків. Використовуючи загрози з останнього сповіщення CERT-UA, команди можуть легко конвертувати ІОС в оптимізовані для продуктивності запити, готові до полювання в обраному середовищі SIEM або EDR.
Аналіз атак UAC-0252 з використанням SHADOWSNIFF та SALATSTEALER
З січня 2026 року CERT-UA відстежує повторні фішингові кампанії, спрямовані на об’єкти в Україні. Повідомлення електронної пошти складені, щоб імітувати центральні урядові органи або регіональні адміністрації і зазвичай наполягають на оновленні мобільних додатків, що використовуються в широко розгорнутих цивільних і військових системах.
Сповіщення CERT-UA#20032 описує два загальні способи доставки. У першому випадку, електронний лист містить прикріплений архів, що містить EXE файл. Атакер розраховує на те, що одержувач відкриє архів і запустить виконуваний файл. У другому випадку, електронний лист містить посилання на легітимний вебсайт, який вразливий до крос-сайтового скриптингу (XSS). Коли жертва відвідує сторінку, впроваджений JavaScript запускається в браузері і завантажує виконуваний файл на комп’ютер. В обох сценаріях CERT-UA відзначає, що EXE файли та скрипти розміщені на легітимному сервісі GitHub, що допомагає діяльності змішатися з нормальним веб-трафіком і робить блокування доменів менш ефективним у багатьох середовищах.
Під час січня та лютого 2026 року CERT-UA підтвердила використання декількох шкідливих інструментів, включаючи SHADOWSNIFF, SALATSTEALER та DEAFTICK.
Повідомлялося, що SHADOWSNIFF розміщений на GitHub, тоді як SALATSTEALER зазвичай описується як інфостєїлер на базі Go, що цілить у облікові дані браузера, краде активні сесії і збирає дані, пов’язані з криптовалютою, працюючи в межах моделі Зловмисного Програмного Забезпечення як Послуга (MaaS). У тій же групі інструментів CERT-UA також повідомила про DEAFTICK, примітивний бекдор, написаний на Go, який, ймовірно, допомагає зловмисникам підтримувати базовий доступ на скомпрометованих хостах і підтримувати подальші дії.
Під час аналізу репозиторію, CERT-UA повідомляє про виявлення програми з характеристиками шифратора-вимагача, внутрішньо названого «AVANGARD ULTIMATE v6.0». Та ж екосистема GitHub також містила архів з експлойтом для WinRAR (CVE-2025-8088), проблемою обходу шляху в Windows WinRAR, яка може дозволити виконання довільного коду за допомогою складених архівів та була зареєстрована, як експлуатована в дикій природі. Це вказує на те, що оператори не тільки крали облікові дані, але й експериментували з додатковими інструментами, які могли б розширити вплив.
На основі деталей розслідування та співпадіння інструментарію, включаючи експерименти з публічно доступними інструментами, CERT-UA пов’язує описану діяльність з особами, обговорюваними в Telegram-каналі «PalachPro», продовжуючи відстежувати кампанію під UAC-0252.
Контекст MITRE ATT&CK
Використання MITRE ATT&CK забезпечує глибоке розуміння останніх фішингових кампаній UAC-0252, націлених на українські суб’єкти. Таблиця нижче показує всі відповідні правила Sigma, зіставлені з відповідними тактиками, техніками та підтехніками ATT&CK. Tactics Techniques Sigma Rules Initial Access Phishing: Spearphishing Attachment (T1566) Execution Exploitation for Client Execution (T1203) User Execution: Malicious File (T1204.002) Persistence Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder (T1547.001) Defense Evasion Masquerading: Masquerade Task or Service (T1036.004) Masquerading: Match Legitimate Resource Name or Location (T1036.005) Process Injection: Process Hollowing (T1055.012) Impair Defenses: Disable or Modify Tools (T1562.001) Hide Artifacts: Hidden Files and Directories (T1564.001) Hide Artifacts: File/Path Exclusions (T1564.012) Command and Control Application Layer Protocol: Web Protocols (T1071.001)
