Folgen 
Seit Januar 2026 verfolgt CERT-UA eine Reihe von Eindringversuchen, die UAC-0252 zugeschrieben werden und auf den Infostealern SHADOWSNIFF und SALATSTEALER basieren. Die Kampagnen stützen sich auf gut ausgearbeitete Phishing Köder, das Staging von Nutzlasten auf legitimer Infrastruktur und benutzergesteuerte Ausführung getarnter EXE-Dateien.
Erkennen Sie UAC-0252-Angriffe, die in CERT-UA#20032 behandelt werden
Laut dem Phishing Trends Q2 2025 Forschung von Check Point bleibt Phishing ein zentrales Werkzeug für Cyberkriminelle, und die Nachahmung weit verbreiteter, vertrauenswürdiger Marken nimmt weiter zu. Vor dem Hintergrund koordinierterer und ausgefeilterer Operationen, die auf kritische Infrastrukturen und Regierungsorganisationen abzielen, veröffentlichte CISA seinen Internationalen Strategischen Plan 2025–2026 um das globale Risiko zu verringern und die kollektive Resilienz zu verbessern.
Registrieren Sie sich für die SOC Prime Plattform um Ihre Organisation proaktiv gegen UAC-0252-Angriffe zu verteidigen. Drücken Sie einfach Entdecken Sie Erkennungen unten und greifen Sie auf einen relevanten Erkennungsregelstapel zu, bereichert mit KI-nativen CTI, kartiert auf das MITRE ATT&CK®-Framework, und kompatibel mit einer Vielzahl von SIEM-, EDR- und Data-Lake-Technologien.
Sicherheitsexperten können auch das „CERT-UA#20032“-Tag verwenden, basierend auf der entsprechenden CERT-UA-Alarmkennung, um direkt nach dem Erkennungsstapel zu suchen und jegliche Inhaltsänderungen zu verfolgen. Für weitere Regeln zur Erkennung adversarbezogener Angriffe können Cyberverteidiger die Bibliothek des Threat Detection Marketplace mit dem „UAC-0252„-Tag durchsuchen.
SOC Prime-Nutzer können sich auch auf Uncoder AI verlassen, um Erkennungen aus Rohbedrohungsberichten zu erstellen, Regelcodes zu dokumentieren und zu optimieren und Attack Flows in wenigen Klicks zu generieren. Durch die Nutzung von Bedrohungsinformationen aus dem neuesten CERT-UA-Alarm können Teams IOCs problemlos in leistungsgerecht optimierte Abfragen umwandeln, die bereit sind, in der gewählten SIEM- oder EDR-Umgebung gesucht zu werden.
Analysieren von UAC-0252-Angriffen unter Verwendung von SHADOWSNIFF und SALATSTEALER
Seit Januar 2026 verfolgt CERT-UA wiederholte Phishing-Kampagnen, die auf Institutionen in der Ukraine abzielen. Die E-Mail-Nachrichten sind so gestaltet, dass sie zentrale Regierungsstellen oder regionale Verwaltungen imitieren und fordern die Empfänger in der Regel auf, mobile Apps zu aktualisieren, die in weit verbreiteten zivilen und militärischen Systemen genutzt werden.
CERT-UA#20032-Alarm beschreibt zwei gängige Zustellungswege. Im ersten wird der E-Mail ein angehängtes Archiv beigefügt, das eine EXE-Datei enthält. Der Angreifer verlässt sich darauf, dass der Empfänger das Archiv öffnet und die ausführbare Datei ausführt. Im zweiten Fall enthält die E-Mail einen Link zu einer legitimen Website, die anfällig für Cross-Site-Scripting (XSS) ist. Wenn das Opfer die Seite besucht, wird der injizierte JavaScript im Browser ausgeführt und lädt eine ausführbare Datei auf den Computer herunter. In beiden Szenarien stellt CERT-UA fest, dass die EXE-Dateien und Skripte auf dem legitimen Dienst GitHub gehostet werden, was der Aktivität hilft, sich in normalen Webverkehr einzufügen und grundlegendes Domain-Blocking in vielen Umgebungen weniger effektiv macht.
Im Januar und Februar 2026 bestätigte CERT-UA, dass die Aktivität mehrere bösartige Tools einsetzte, darunter SHADOWSNIFF, SALATSTEALER und DEAFTICK.
SHADOWSNIFF wurde als auf GitHub gehostet gemeldet, während SALATSTEALER allgemein als Go-basierter Infostealer beschrieben wird, der auf Browser-Credentials abzielt, aktive Sitzungen stiehlt und krypto-bezogene Daten sammelt und unter einem Malware-as-a-Service (MaaS)-Modell arbeitet. Im selben Werkzeugsatz berichtete CERT-UA auch von DEAFTICK, einem primitiven Backdoor, geschrieben in Go, das Angreifern wahrscheinlich hilft, grundlegenden Zugang zu kompromittierten Hosts zu halten und Folgeaktionen zu unterstützen.
Während der Repositoriums-Analyse berichtet CERT-UA, dass ein Programm mit den Eigenschaften eines Ransomware-Encryptors entdeckt wurde, intern «AVANGARD ULTIMATE v6.0» genannt. Das gleiche GitHub-Ökosystem enthielt auch ein Archiv mit einem Exploit für WinRAR (CVE-2025-8088), ein Pfadtraversal-Problem in Windows WinRAR, das die Ausführung von beliebigem Code durch manipulierte Archive ermöglichen kann und als in der Wildnis ausgenutzt gemeldet wurde. Dies deutet darauf hin, dass die Betreiber nicht nur Credentials stahlen, sondern auch mit zusätzlichem Werkzeug experimentierten, das den Einfluss erweitern könnte.
Anhand der Untersuchungsdetails und der Überschneidungen der Werkzeuge, einschließlich Experimente mit öffentlich verfügbaren Instrumenten, verbindet CERT-UA die beschriebene Aktivität mit Individuen, die im „PalachPro“-Telegram-Kanal diskutiert werden, während es weiterhin die Kampagne unter UAC-0252 verfolgt.
MITRE ATT&CK-Kontext
Die Nutzung von MITRE ATT&CK bietet tiefe Einblicke in die neuesten UAC-0252-Phishing-Kampagnen, die auf ukrainische Institutionen abzielen. Die nachstehende Tabelle zeigt alle relevanten Sigma-Regeln, die den zugehörigen ATT&CK-Taktiken, Techniken und Subtechniken zugeordnet sind. Tactics Techniques Sigma Rules Initial Access Phishing: Spearphishing Attachment (T1566) Execution Exploitation for Client Execution (T1203) User Execution: Malicious File (T1204.002) Persistence Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder (T1547.001) Defense Evasion Masquerading: Masquerade Task or Service (T1036.004) Masquerading: Match Legitimate Resource Name or Location (T1036.005) Process Injection: Process Hollowing (T1055.012) Impair Defenses: Disable or Modify Tools (T1562.001) Hide Artifacts: Hidden Files and Directories (T1564.001) Hide Artifacts: File/Path Exclusions (T1564.012) Command and Control Application Layer Protocol: Web Protocols (T1071.001)
