Стежити 
Фішинг залишається однією з найефективніших тактик у арсеналі кіберзлочинців, особливо коли зловмисники використовують нагальні гуманітарні теми, довірені онлайн-ресурси та легітимні системні інструменти для збільшення залучення жертв. Europol також зазначає, що фішинг продовжує слугувати основним вектором доставки шкідливого ПЗ, яке краде дані. Цей патерн чітко відображено в останній активності, відстеженій CERT-UA, де зловмисники використовували приманки на тему гуманітарної допомоги та багатоетапне доставлення шкідливих програм для націлювання на українські організації.
У статті CERT-UA, дослідники описали кампанію UAC-0247, яка націлена на органи місцевого самоврядування, комунальні заклади охорони здоров’я та, ймовірно, представників Збройних Сил України. Операція зрештою розгорнула AGINGFLY та пов’язані з ним шкідливі інструменти, комбінуючи фішинг, оманливу веб-доставку та зловживання легітимними Windows утилітами, щоб встановити доступ і підтримувати подальші компрометації.
Останні звіти CERT-UA підкреслюють чергову хвилю фішингом керованих вторгнень, які націлені на цивільні та потенційно оборонно-суміжні сектори України. У кампанії, описаній у статті, зловмисники використовували електронні листи на тему гуманітарної допомоги, щоб приманити жертв на відкриття шкідливого контенту, що зрештою розгорнуло AGINGFLY, сімейство шкідливих програм, пов’язане з віддаленим доступом, крадіжкою облікових даних та подальшими пост-компрометаційними діями. Спостережувані цілі включали органи місцевого самоврядування, комунальні заклади охорони здоров’я, включаючи клінічні та екстрені лікарні, та, ймовірно, осіб, пов’язаних з операціями безпілотників FPV.
Зареєструйтеся на платформі SOC Prime, щоб проактивно захистити свою організацію від атак UAC-0247. Просто натисніть нижче ‘Дослідити Виявлення’, щоб отримати доступ до відповідного стека правил виявлення, збагаченого AI-нативним CTI, мапованого на фреймворк MITRE ATT&CK®, і сумісного з широким спектром технологій SIEM, EDR та Data Lake.
Команди безпеки можуть шукати на Маркетплейсі Виявлення Загроз, використовуючи тег “UAC-0247” , щоб ідентифікувати відповідні виявлення та відстежувати пов’язані оновлення контенту. Кіберзахисники також можуть покладатися на Uncoder AI для перетворення сирої загрозової інформації у запити оптимізованої продуктивності, документування та покращення логіки правил, а також створення потоків атак на основі останніх звітів CERT-UA.
Аналіз атак UAC-0247, що постачають AGINGFLY через фішингові приманки на тему гуманітарної допомоги
За даними CERT-UA, ланцюг атаки розпочинався з фішингових електронних листів, замаскованих під пропозиції гуманітарної допомоги. Жертв було спонукано натиснути посилання, яке перенаправляло або на легітимний сайт, скомпрометований через міжсайтовий скриптинг (XSS), або на фальшивий сайт, створений за допомогою AI-інструментів. В обох сценаріях метою було переконати жертву завантажити та відкрити архів з шкідливим файлом LNK.
Після запуску, файл ярлика використовував mshta.exe для отримання та виконання віддаленого файлу HTA. HTA показувала обманну форму, щоб відволікти жертву, водночас завантажуючи виконуваний файл, який вколював шеллкод у легітимний процес, наприклад, RuntimeBroker.exe. CERT-UA також зазначила, що в наступних етапах кампанії використовувався двоетапний завантажувач, з другим етапом у власному форматі виконуваного файлу, а остаточний корисний вантаж додатково стискався і шифрувався для ускладнення виявлення і аналізу.
Серед компонентів наступного етапу кампанії були RAVENSHELL, що діяв як стейджер зворотного шелл-стилю, SILENTLOOP, інструмент на базі PowerShell, здатний виконувати команди та отримувати дані командування і контролю, та AGINGFLY, основна сімейство шкідливих програм, використаних в операції. Звіти, пов’язані з CERT-UA, вказують, що AGINGFLY призначений для віддаленого контролю, крадіжки даних та подальших дій компрометації.
Кампанія також підтримувала крадіжку облікових даних, розвідку та горизонтальний рух. Дослідники спостерігали використання інструментарію для вилучення даних з браузерів на основі Chromium, доступу до даних, пов’язаних з повідомленнями, сканування внутрішніх мереж та тунелювання трафіку через скомпрометоване оточення. В одному з розслідуваних випадків форензіка припускала, що представники Збройних Сил України могли бути націлені за допомогою шкідливих ZIP-архівів, розповсюджених через Signal і призначених для впровадження AGINGFLY через побічне завантаження DLL.
Щоб зменшити ризик впливу цієї активності, CERT-UA рекомендує обмежити виконання ризикованих типів файлів, таких як LNK, HTA та JS, а також обмежити або ретельно контролювати використання вбудованих засобів Windows, які часто зловживаються у ланцюгу інфекції, включаючи mshta.exe, powershell.exe та wscript.exe.
Контекст MITRE ATT&CK
Використання MITRE ATT&CK допомагає контекстуалізувати останню активність UAC-0247. На основі звітованих TTP найбільш відповідними техніками, ймовірно, є Фішинг: Spearphishing Link (T1566.002), Інтерпретатор команд та сценаріїв, Впорскування в процеси (T1055), Веб-протоколи / WebSockets для C2, Доступ до облікових даних та горизонтальний рух через інструменти тунелювання і проксіювання. Це мапування відображає фішингові приманки, оманливу веб-доставку, виконання LNK-to-HTA, впорскування шеллкоду, розгорнуття AGINGFLY та подальшу крадіжку облікових даних і внутрішню розвідку.
