СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Новости
Артем
1 час назад
#ИБ

На украинские госструктуры и больницы обрушились хакерские атаки с использованием вируса AgingFly

На украинские госструктуры и больницы обрушились хакерские атаки с использованием вируса AgingFly

Изображение: recraft

Специалисты CERT-UA зафиксировали новую вредоносную кампанию с использованием семейства AgingFly, направленную на государственные структуры и медицинские организации. Основная цель атак — кража учётных данных, паролей из браузеров и переписки из WhatsApp. Кампанию связывают с хакерами из группы UAC-0247, в зоне риска находятся гражданские учреждения и представители оборонного сектора.

Атака начинается с письма на тему гуманитарной помощи со ссылкой, которая ведёт либо на взломанный сайт с XSS-уязвимостью, либо на поддельную страницу, собранную с помощью ИИ. На устройство загружается архив с ярлыком LNK, при запуске которого активируется цепочка через HTA-компоненты, подтягивающие дополнительный код с удалённого ресурса.

Пользователю в этот момент показывают отвлекающее окно, пока система получает задачу в планировщике для запуска следующего этапа. Загрузчик работает в два этапа, полезная нагрузка зашифрована и упакована, а соединение с сервером управления устанавливается через TCP с простым шифрованием.

PowerShell-сценарий SILENTLOOP отвечает за обновление конфигурации и получение адресов управляющих серверов, в том числе через каналы в Telegram, что позволяет атаке оставаться активной даже при частичной блокировке инфраструктуры.

После закрепления в системе запускается основной модуль AgingFly, написанный на C#. Операторы получают полный контроль над устройством, могут выполнять команды, выгружать файлы, делать скриншоты, записывать нажатия клавиш и запускать произвольный код. Связь с управляющей инфраструктурой строится через WebSockets, трафик шифруется с помощью AES-CBC.

Особенность архитектуры в том, что заранее прописанных команд нет. Вредоносный модуль получает исходный код с сервера и собирает нужные функции прямо на машине жертвы.

Для кражи данных из браузеров используется инструмент ChromElevator, который вытаскивает cookies и сохранённые пароли из Chrome, Edge и других Chromium-решений без прав администратора. Одновременно идёт попытка добраться до данных WhatsApp на Windows через расшифровку локальных баз.

После этого злоумышленники переходят к разведке внутри сети, используют RustScan для поиска открытых портов, а Ligolo-ng и Chisel для создания туннелей и перемещения между системами. Кампания ориентирована не на быстрый удар, а на постепенное расширение доступа и глубокую работу внутри инфраструктуры.

* Корпорация Meta, владеющая WhatsApp, признана экстремистской организацией и запрещена на территории Российской Федерации.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: