Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
AgingFly to nowo zidentyfikowana rodzina złośliwego oprogramowania wykorzystywana w ukierunkowanych atakach na instytucje publiczne oraz placówki ochrony zdrowia w Ukrainie. Zagrożenie łączy cechy trojana zdalnego dostępu, stealer’a oraz narzędzia post-eksploatacyjnego, co pozwala napastnikom nie tylko uzyskać dostęp do systemu, ale także prowadzić rekonesans, kraść dane i rozwijać operację wewnątrz sieci.
Charakter kampanii pokazuje, że współczesne grupy atakujące coraz częściej wykorzystują wieloetapowe łańcuchy infekcji, legalne komponenty systemu Windows oraz narzędzia open source. Taki model działania utrudnia detekcję, ponieważ złośliwa aktywność miesza się z pozornie normalnymi procesami administracyjnymi i użytkowymi.
W skrócie
Kampania przypisywana klastrowi UAC-0247 była wymierzona w ukraińskie urzędy i szpitale, a według analiz mogła obejmować również podmioty powiązane ze strukturami obronnymi. Atak rozpoczynał się od wiadomości phishingowej podszywającej się pod komunikację dotyczącą pomocy humanitarnej.
Po kliknięciu odsyłacza ofiara trafiała na skompromitowaną lub spreparowaną stronę, z której pobierała archiwum zawierające plik LNK. Następnie uruchamiany był wieloetapowy loader prowadzący do wdrożenia malware AgingFly, zdolnego do wykonywania poleceń, kradzieży plików, przechwytywania wpisywanych znaków, wykonywania zrzutów ekranu oraz pobierania dodatkowych modułów z serwera C2.
- wektor wejścia: phishing i fałszywe lub skompromitowane witryny,
- mechanizmy uruchomienia: LNK, HTA, zaplanowane zadania,
- funkcje końcowe: zdalne sterowanie, eksfiltracja danych, keylogging, screen capture,
- narzędzia pomocnicze: PowerShell, tunelowanie ruchu, skanowanie portów, kradzież danych z przeglądarek i komunikatorów.
Kontekst / historia
Kampanię zaobserwowano w marcu 2026 roku. Jej charakter wskazuje na kontynuację działań wymierzonych w organizacje o znaczeniu administracyjnym, operacyjnym i społecznym, zwłaszcza te, których zakłócenie może wywołać realne konsekwencje dla funkcjonowania państwa lub bezpieczeństwa obywateli.
Ataki na sektor publiczny i ochronę zdrowia nie są przypadkowe. Instytucje te przetwarzają duże wolumeny wrażliwych informacji, a jednocześnie często działają w środowiskach o złożonej infrastrukturze, gdzie szybkie wdrażanie zmian bezpieczeństwa bywa utrudnione. W przypadku szpitali dodatkową presję stanowi konieczność utrzymania ciągłości świadczenia usług, co może ograniczać możliwość natychmiastowego wyłączenia zainfekowanych systemów.
Na tle innych kampanii AgingFly wyróżnia się tym, że nie opiera się wyłącznie na klasycznym dropperze czy prostym stealerze. To rozbudowany zestaw technik łączący socjotechnikę, nadużycie zaufanych mechanizmów Windows, zdalne pobieranie komponentów i użycie publicznie dostępnych narzędzi ofensywnych.
Analiza techniczna
Łańcuch ataku rozpoczyna się od wiadomości phishingowej. Jej treść ma zachęcić odbiorcę do otwarcia materiałów związanych z pomocą humanitarną, co zwiększa skuteczność kampanii w środowisku objętym konfliktem i działaniami kryzysowymi. Po kliknięciu ofiara trafia na witrynę legalną, lecz wcześniej skompromitowaną przez podatność XSS, albo na stronę stworzoną specjalnie do tej operacji.
Pobrane archiwum zawiera plik skrótu LNK. Jego uruchomienie aktywuje mechanizm HTA, który pobiera i wykonuje zdalny plik HTA. Komponent ten pełni podwójną funkcję: wyświetla formularz-wabik odciągający uwagę użytkownika oraz tworzy zaplanowane zadanie odpowiedzialne za pobranie i uruchomienie właściwego pliku wykonywalnego. Kolejny etap obejmuje wstrzyknięcie shellcode do legalnego procesu, co obniża widoczność złośliwego działania.
Następnie wykorzystywany jest dwuetapowy loader. Drugi stopień korzysta z niestandardowego formatu wykonywalnego, a finalny ładunek jest dodatkowo kompresowany i szyfrowany. W wybranych scenariuszach operatorzy używają także komponentu odwrotnej powłoki TCP, umożliwiającego utrzymanie komunikacji z infrastrukturą sterującą. Polecenia wykonywane są z użyciem Windows Command Prompt, a transmisja do C2 jest chroniona prostym mechanizmem XOR.
Po wdrożeniu AgingFly uruchamiany bywa także skrypt PowerShell określany jako SILENTLOOP. Odpowiada on za wykonywanie poleceń, aktualizację konfiguracji oraz pobieranie aktualnego adresu serwera C2 z kanału Telegram lub źródeł zapasowych. Taka konstrukcja daje operatorom większą odporność na blokowanie pojedynczych elementów infrastruktury.
Sam malware został napisany w C# i komunikuje się z serwerem C2 przez WebSockety. Ruch jest zabezpieczany z wykorzystaniem AES-CBC ze statycznym kluczem. Funkcjonalnie AgingFly oferuje zestaw możliwości typowych dla zaawansowanego RAT-a:
- zdalne wykonywanie poleceń,
- eksfiltrację plików i danych,
- rejestrowanie klawiszy,
- wykonywanie zrzutów ekranu,
- uruchamianie dodatkowego kodu dostarczanego przez operatora.
Najbardziej charakterystyczną cechą techniczną jest brak stałych handlerów poleceń w głównej próbce. Zamiast tego odpowiedzialne za funkcje moduły są dostarczane przez C2 jako kod źródłowy, a następnie kompilowane dynamicznie już na zainfekowanym hoście. Z perspektywy napastnika oznacza to mniejszy rozmiar początkowego ładunku, większą elastyczność i utrudnienie analizy statycznej. Z perspektywy obrońcy oznacza to konieczność szukania oznak kompilacji i uruchamiania kodu w czasie działania systemu.
W części odpowiedzialnej za kradzież danych operatorzy wykorzystywali narzędzie ChromElevator do odszyfrowywania informacji zapisanych w przeglądarkach opartych na Chromium, takich jak Chrome, Edge czy Brave. Celem były zapisane hasła i ciasteczka sesyjne. Dodatkowo próbowano pozyskiwać dane z desktopowej wersji WhatsApp przy użyciu narzędzi umożliwiających odszyfrowanie lokalnych baz danych aplikacji.
Po uzyskaniu przyczółka na stacji roboczej napastnicy prowadzili rekonesans i ruch boczny. W tym celu używano publicznie dostępnych narzędzi, w tym RustScan do skanowania portów oraz Ligolo-ng i Chisel do tunelowania ruchu. To szczególnie groźne w środowiskach o słabej segmentacji sieci, gdzie kompromitacja jednego hosta może szybko przełożyć się na penetrację kolejnych systemów.
Konsekwencje / ryzyko
Ryzyko związane z AgingFly należy ocenić jako wysokie. Malware nie ogranicza się do pojedynczego scenariusza użycia, lecz łączy możliwości kradzieży danych, trwałego dostępu i wsparcia dalszej eksploatacji. Oznacza to, że nawet pozornie niewielki incydent phishingowy może stać się początkiem szerszej kompromitacji całej organizacji.
Kradzież haseł, cookies i danych z komunikatorów może prowadzić do przejmowania kont, obchodzenia części mechanizmów opartych na aktywnych sesjach oraz dalszych ataków z wykorzystaniem legalnych tożsamości. W administracji publicznej skutkiem może być utrata informacji wrażliwych i naruszenie poufności komunikacji. W ochronie zdrowia konsekwencje są jeszcze poważniejsze, ponieważ incydent może wpłynąć zarówno na bezpieczeństwo danych medycznych, jak i na ciągłość działania usług.
Dodatkowym problemem jest dynamiczna kompilacja kodu na stacji ofiary. Tego typu technika znacząco ogranicza skuteczność prostych mechanizmów sygnaturowych. Organizacje polegające głównie na klasycznym antywirusie mogą mieć trudność z wykrywaniem podobnych kampanii na wczesnym etapie.
Rekomendacje
Podstawowym krokiem obronnym jest ograniczenie możliwości uruchamiania plików LNK, HTA i JS pochodzących z niezweryfikowanych źródeł. W środowiskach Windows warto wdrożyć polityki Application Control, reguły ASR oraz ograniczenia dla interpreterów i handlerów, które nie są potrzebne w codziennej działalności biznesowej.
Równie ważne jest wzmocnienie ochrony poczty elektronicznej. Obejmuje to filtrowanie wiadomości phishingowych, sandboxing załączników, analizę reputacji odsyłaczy oraz szkolenia użytkowników z rozpoznawania socjotechniki wykorzystującej aktualne i wiarygodnie brzmiące tematy.
Z perspektywy monitoringu warto uwzględnić następujące obszary detekcji:
- nietypowe uruchomienia HTA oraz skrótów LNK,
- tworzenie zaplanowanych zadań przez skrypty lub procesy potomne pochodzące z archiwów,
- dynamiczną kompilację kodu C# na stacjach roboczych,
- odczyt i eksport danych z lokalnych magazynów przeglądarek Chromium,
- nietypowy dostęp do plików i baz danych WhatsApp Desktop,
- użycie tuneli sieciowych i skanerów portów w segmentach użytkowników końcowych,
- połączenia WebSocket do nieznanych hostów oraz anomalie w ruchu PowerShell.
W reakcji na incydent kluczowe jest nie tylko zresetowanie haseł, ale również unieważnienie aktywnych sesji przeglądarek i przegląd mechanizmów persistence. Przy podejrzeniu wycieku cookies sama zmiana hasła może nie wystarczyć, jeśli przejęte sesje pozostaną ważne. Konieczna jest także analiza zakresu ruchu bocznego i szybka izolacja zagrożonych hostów.
Długofalowo organizacje powinny inwestować w segmentację sieci, ograniczanie lokalnych uprawnień administracyjnych, EDR z analizą behawioralną oraz centralne logowanie zdarzeń z punktów końcowych. W instytucjach publicznych i ochronie zdrowia szczególne znaczenie mają gotowe procedury izolacji i eskalacji incydentów.
Podsumowanie
AgingFly jest przykładem nowoczesnego malware zaprojektowanego z myślą o elastycznym rozwijaniu funkcji i utrudnianiu analizy. Kampania wymierzona w ukraińskie instytucje publiczne i szpitale pokazuje, jak skutecznie napastnicy łączą phishing, legalne mechanizmy systemowe, zdalnie dostarczane komponenty oraz narzędzia open source wspierające kradzież danych i ruch boczny.
Dla zespołów bezpieczeństwa najważniejszy wniosek jest praktyczny: skuteczna obrona przed podobnymi zagrożeniami wymaga połączenia polityk ograniczających ryzykowne typy plików, monitoringu behawioralnego, segmentacji sieci oraz szybkiej reakcji na oznaki kradzieży danych uwierzytelniających. W realiach współczesnych kampanii ukierunkowanych sama detekcja sygnaturowa przestaje być wystarczająca.
Źródła
- BleepingComputer — https://www.bleepingcomputer.com/news/security/new-agingfly-malware-used-in-attacks-on-ukraine-govt-hospitals/
- CERT-UA report on AGINGFLY / UAC-0247 — https://cert.gov.ua/article/6284518