Wprowadzenie do problemu / definicja
Grupa oznaczona jako UAC-0247 została powiązana z kampanią cyberataków wymierzoną w ukraińskie instytucje publiczne oraz placówki ochrony zdrowia. Celem operacji jest kradzież danych, uzyskanie trwałego dostępu do systemów oraz stworzenie warunków do dalszych działań po kompromitacji środowiska.
Analizowana aktywność pokazuje, że napastnicy łączą socjotechnikę z nadużyciem legalnych narzędzi systemu Windows. Taki model działania utrudnia wykrycie incydentu na wczesnym etapie i zwiększa skuteczność ataku w organizacjach o ograniczonej widoczności telemetrycznej.
W skrócie
- Kampania była obserwowana w marcu i kwietniu 2026 roku.
- Głównymi celami były kliniki, szpitale ratunkowe oraz podmioty administracji publicznej.
- Łańcuch infekcji rozpoczyna się od phishingu z przynętą dotyczącą pomocy humanitarnej.
- Atak wykorzystuje pliki LNK, komponenty HTA uruchamiane przez mshta.exe oraz moduły RAVENSHELL, AGINGFLY i SILENTLOOP.
- Operatorzy kradną dane z przeglądarek Chromium, środowiska WhatsApp i prowadzą rekonesans oraz ruch boczny.
Kontekst / historia
Sektor ochrony zdrowia i administracja publiczna od lat należą do najczęściej atakowanych obszarów infrastruktury krytycznej i usług publicznych w regionie Europy Wschodniej. Organizacje te przetwarzają dane wrażliwe, a jednocześnie często działają pod presją ciągłości usług, co ogranicza możliwość agresywnego blokowania części mechanizmów systemowych.
W tej kampanii szczególnie istotne jest wykorzystanie motywu pomocy humanitarnej jako przynęty. Tego rodzaju komunikacja buduje wiarygodność, wywołuje poczucie pilności i zwiększa prawdopodobieństwo, że użytkownik pobierze lub uruchomi złośliwy plik bez pełnej weryfikacji.
Analiza techniczna
Atak rozpoczyna się od wiadomości phishingowej, która nakłania odbiorcę do przejścia na stronę internetową i pobrania pliku LNK. Według opisu kampanii strona może być zarówno podstawioną witryną, jak i legalnym serwisem wykorzystanym po wcześniejszym przejęciu lub nadużyciu podatności po stronie aplikacji.
Po uruchomieniu skrótu LNK wykonywany jest zdalny komponent HTA za pomocą mshta.exe. Jest to legalne narzędzie systemowe Windows, często wykorzystywane w atakach typu living-off-the-land. W tym samym czasie użytkownik może widzieć wabik mający odwrócić uwagę od rzeczywistej aktywności malware.
Kolejny etap obejmuje pobranie i uruchomienie binariów odpowiedzialnych za iniekcję shellcode do zaufanych procesów, takich jak runtimeBroker.exe. Taki mechanizm ma utrudnić wykrycie szkodliwego kodu i ukryć aktywność napastników w procesach uznawanych za legalne.
W części incydentów obserwowano także wieloetapowy loader wykorzystujący niestandardowy format wykonywalny. Końcowe ładunki były dodatkowo kompresowane i szyfrowane, co wskazuje na próbę ograniczenia skuteczności detekcji sygnaturowej i utrudnienia analizy statycznej.
Jednym z kluczowych komponentów kampanii jest RAVENSHELL, czyli moduł typu reverse shell umożliwiający wykonywanie poleceń przez cmd.exe po zestawieniu połączenia z infrastrukturą sterującą. Drugim istotnym elementem jest AGINGFLY, napisany w C#, który zapewnia zdalną kontrolę nad hostem, uruchamianie keyloggera, pobieranie plików i dostarczanie kolejnych ładunków.
W kampanii wykorzystywany jest również skrypt PowerShell określany jako SILENTLOOP. Jego zadaniem jest wykonywanie komend, aktualizacja konfiguracji oraz pobieranie informacji o aktywnej infrastrukturze C2 z kanału Telegram. To rozwiązanie zwiększa odporność operatorów na blokowanie lub przejmowanie serwerów sterujących.
Po uzyskaniu dostępu napastnicy realizują rekonesans, ruch boczny i eksfiltrację danych. Z ujawnionych informacji wynika, że interesują ich poświadczenia, dane z przeglądarek opartych na Chromium oraz artefakty związane z komunikacją przez WhatsApp. W niektórych przypadkach odnotowano także wykorzystanie narzędzi tunelujących ruch TCP/TLS oraz minera kryptowalut.
Dodatkowym kanałem dystrybucji miały być złośliwe archiwa ZIP przesyłane przez Signal. W tym wariancie wdrożenie AGINGFLY odbywało się z użyciem techniki DLL side-loading, co pokazuje elastyczność operatorów i dostosowywanie łańcucha ataku do wybranej grupy ofiar.
Konsekwencje / ryzyko
Największym zagrożeniem jest utrata poufności danych. W przypadku placówek medycznych może to oznaczać wyciek informacji o pacjentach, danych logowania personelu, danych operacyjnych i dokumentacji organizacyjnej. W administracji publicznej ryzyko obejmuje kompromitację kont, dokumentów roboczych, kanałów komunikacji i dostępu do kolejnych systemów.
Połączenie kradzieży poświadczeń, zdalnego sterowania hostem i ruchu bocznego zwiększa prawdopodobieństwo rozszerzenia incydentu z pojedynczej stacji roboczej na większą część środowiska. Jeśli organizacja nie stosuje segmentacji sieci i nie monitoruje legalnych narzędzi administracyjnych, obecność napastnika może pozostać niewidoczna przez dłuższy czas.
Dodatkowym problemem jest nadużywanie zaufanych komponentów Windows. Tego rodzaju techniki zmuszają zespoły bezpieczeństwa do przejścia z prostego modelu ochrony opartego na sygnaturach na podejście behawioralne, oparte na korelacji zdarzeń, analizie łańcuchów wykonania i śledzeniu anomalii.
Rekomendacje
Organizacje powinny ograniczyć możliwość uruchamiania plików LNK, HTA i skryptów w kontekstach, w których nie są one wymagane biznesowo. Szczególną uwagę warto poświęcić kontroli uruchamiania mshta.exe, powershell.exe i wscript.exe na stacjach użytkowników.
- Wdrożyć kontrolę aplikacyjną i polityki ograniczające wykonywanie nieautoryzowanych plików.
- Monitorować nietypowe łańcuchy uruchomień, zwłaszcza relacje LNK → mshta.exe oraz iniekcję kodu do procesów systemowych.
- Włączyć szczegółowe logowanie PowerShell i analizę połączeń do nieznanych usług zewnętrznych, w tym komunikacji WebSocket.
- Zweryfikować ochronę zapisanych sekretów w przeglądarkach Chromium oraz polityki dostępu do profili użytkowników.
- Stosować segmentację sieci i ograniczać możliwość ruchu bocznego między segmentami.
- Prowadzić szkolenia antyphishingowe uwzględniające wiadomości związane z pomocą humanitarną, grantami i pilnymi działaniami operacyjnymi.
W przypadku wykrycia aktywności zgodnej z opisanym scenariuszem warto przeprowadzić pełne polowanie na zagrożenia pod kątem shellcode injection, narzędzi tunelujących, artefaktów eksfiltracji z przeglądarek i komunikatorów oraz śladów pobierania konfiguracji C2 z zewnętrznych kanałów komunikacyjnych.
Podsumowanie
Kampania przypisywana UAC-0247 pokazuje, że skuteczny phishing nie musi opierać się na zaawansowanych exploitach, jeśli jest wspierany przez dobrze przygotowaną socjotechnikę, legalne narzędzia systemowe i modułową architekturę malware. Szczególnie niepokojący jest dobór celów obejmujący ochronę zdrowia i administrację, gdzie skutki incydentu mogą wykraczać poza sam wyciek danych i wpływać na ciągłość działania kluczowych usług.
Dla obrońców najważniejsze pozostają kontrola wykonywania skryptów i binariów systemowych, szybka identyfikacja aktywności poeksploatacyjnej oraz ograniczanie możliwości ruchu bocznego i eksfiltracji danych. To właśnie te obszary powinny być priorytetem w środowiskach narażonych na podobne kampanie.
Źródła
- The Hacker News — https://thehackernews.com/2026/04/uac-0247-targets-ukrainian-clinics-and.html
- CERT-UA — https://cert.gov.ua/article/6288271