UAC-0252: социальная инженерия, SHADOWSNIFF, AVANGARD и CVE-2025-8088

С января 2026 года CERT-UA отслеживает волну кибератак, приписываемых группе, обозначенной как UAC-0252. Злоумышленники применяют комплексную тактику социальной инженерии, маскируясь под представителей центральных исполнительных властей и региональных администраций, чтобы вынудить жертв установить поддельные обновления мобильных приложений, используемых как в гражданском, так и в военном секторах.

Суть инцидента

Атаки строятся вокруг обмана пользователей: сообщения содержат вложения, замаскированные под архивы с исполняемыми файлами, либо ссылки на легитимные веб‑ресурсы, уязвимые к Cross-Site Scripting (XSS). Взаимодействие с такими ссылками может привести к непреднамеренной загрузке вредоносных исполняемых файлов, инициируемых JavaScript-кодом на скомпрометированных страницах.

Методы и вектор проникновения

• Социальная инженерия: отправка сообщений от имени органов власти с просьбой обновить приложения.
• Маскировка вложений под архивы, содержащие исполняемые файлы.
• Эксплуатация уязвимостей на легитимных веб‑сайтах, в частности через XSS, что позволяет триггерить загрузку вредоносного ПО.
• Упаковка эксплойта в вредоносные архивные вложения с использованием уязвимости в WinRAR.

Выявленные вредоносные инструменты

Исследователи связали с инцидентами несколько примечательных образцов вредоносного ПО:

• SHADOWSNIFF — разновидность кражи ПВО, нацеленная на извлечение конфиденциальной информации.
• SALATSTEALER — ещё один stealer, предназначенный для похищения данных с компрометированных систем.
• Программа с внутренним именем «AVANGARD ULTIMATE v6.0.» — указывающая на наличие фреймворка двойного назначения: комбинации кражи данных и потенциального функционала вымогательства (шифрование файлов для вымогания выкупа).

Критическая уязвимость в библиотеке архивирования

Ключевой компонент атак — использование уязвимости в WinRAR, отмеченной как CVE-2025-8088. Эксплойт может быть включён в вредоносные архивные вложения, что значительно повышает эффективность распространения вредоносного ПО и сложность обнаружения.

Сигналы о профилировании и ресурсах злоумышленников

Углублённый анализ методологии атак показал поведение, согласующееся с активностью, наблюдаемой в Telegram-канале PalachPro. Это наводит на вывод о структурированном подходе группы UAC-0252 к киберпреступной деятельности и возможном использовании каналов обмена информации и инструментов через мессенджеры.

«группа UAC-0252 действует с структурированным подходом к киберпреступности»

Последствия и оцениваемый риск

Комбинация социальной инженерии, эксплуатации известных уязвимостей и применения инструментов для кражи и потенциального шифрования данных представляет серьёзную угрозу для государственных, гражданских и военных систем. Атаки нацелены на компрометацию конфиденциальной информации и создание предпосылок для последующего вымогательства.

Рекомендации по защите

• Не открывайте неожиданные вложения и не выполняйте исполняемые файлы из архива, полученные по электронной почте или мессенджерам.
• Проверяйте подлинность сообщений от государственных органов: связывайтесь по официальным каналам коммуникации.
• Обновите и патчьте программное обеспечение, в частности WinRAR, чтобы закрыть уязвимость CVE-2025-8088.
• Ограничьте выполнение JavaScript на критичных веб‑ресурсах и контролируйте поведение скриптов через политики содержания (CSP), где это возможно.
• Внедрите многофакторную аутентификацию и средства обнаружения аномалий для быстрого выявления компрометаций.

Ситуация подчёркивает, что использование известных уязвимостей в сочетании с хорошо проработанными приёмами социальной инженерии остаётся эффективной тактикой атаки. CERT‑UA продолжает отслеживать инциденты и информировать о новых индикаторах компрометации по мере их обнаружения.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.