16.04.2026
1 хв
237
В Україні зафіксовано нову хвилю кібератак, спрямованих на медичні установи та державні органи. Група UAC-0247 використовує складні багаторівневі інфекційні ланцюги, щоб викрадати дані з браузерів і месенджерів, зокрема WhatsApp.
В Україні зафіксували нову хвилю кібератак, спрямованих на медичні установи та державні структури. Йдеться передусім про клініки та лікарні швидкої допомоги. Про це повідомила CERT-UA, яка розкрила деталі кампанії з розповсюдження шкідливого ПЗ для викрадення даних із браузерів на базі Chromium та месенджера WhatsApp.
Активність тривала з березня по квітень 2026 року. Її пов’язують із кластером загроз UAC-0247, походження якого наразі залишається невідомим.
Сценарій атаки починається з фішингового листа. Зловмисники маскують його під пропозицію гуманітарної допомоги та переконують отримувача перейти за посиланням. Далі користувач потрапляє або на легітимний сайт, зламаний через XSS-вразливість, або на фейкову сторінку, створену за допомогою AI.
Незалежно від варіанту, кінцева мета одна: змусити жертву завантажити файл формату LNK. Після запуску він використовує системну утиліту Windows mshta.exe, щоб виконати HTA-файл. Той показує фальшиву форму, яка відволікає користувача, поки в системі паралельно запускається шкідливий код.
Далі відбувається більш складний етап. Шкідливе ПЗ впроваджує шелл-код у легітимні процеси, наприклад runtimeBroker.exe. Це допомагає уникнути виявлення. Останні кампанії також показали використання двоетапного завантажувача. Другий етап працює у власному форматі виконуваного файлу з підтримкою імпорту функцій, розділення коду та даних. Фінальний payload додатково стискається та шифрується.
«Водночас, у нещодавніх кампаніях зафіксовано використання двоетапного завантажувача…»
Після закріплення в системі атакуючі підключають додаткові інструменти. Серед них:
RAVENSHELL – TCP reverse shell для віддаленого виконання команд через cmd
AGINGFLY – malware на C#, що забезпечує повний контроль над системою
SILENTLOOP – PowerShell-скрипт для управління командами та отримання C2 через Telegram
AGINGFLY, зокрема, використовує WebSockets для зв’язку із сервером керування. Він дозволяє виконувати команди, запускати кейлогер, завантажувати файли та підвантажувати нові модулі.
Розслідування показало, що атаки не обмежуються лише проникненням. Зловмисники активно займаються розвідкою мережі, переміщуються всередині інфраструктури та викрадають дані. У першу чергу їх цікавлять облікові записи та конфіденційна інформація з Chromium-браузерів і WhatsApp.
Для цього застосовують набір сторонніх інструментів:
ChromElevator – обходить захист Chromium і витягує cookies та паролі
ZAPiXDESK – розшифровує локальні бази даних WhatsApp Web
RustScan – швидкий сканер мережі
Ligolo-Ng – утиліта для тунелювання
Chisel – інструмент для TCP/UDP тунелів
XMRig – майнер криптовалюти
Окремо в CERT-UA зазначають, що серед потенційних цілей могли бути й представники Сил оборони України. Це підтверджується випадками розповсюдження шкідливих ZIP-архівів через месенджер Signal. Усередині таких архівів містилися файли, що запускали AGINGFLY через техніку DLL sideloading.
Щоб знизити ризики, фахівці радять обмежити виконання небезпечних типів файлів і контролювати використання системних утиліт. Зокрема, йдеться про LNK, HTA, JS, а також mshta.exe, powershell.exe і wscript.exe.
