Главная страница » Индикаторы компрометации
0
1 минута
Индикаторы компрометации

Фишинговая кампания UAC-0247 нацелена на украинских операторов дронов: многоступенчатая атака с использованием поддельных форм гуманитарной помощи

APT

Специалисты обнаружили новую волну кибератак, ориентированную на украинских военных и волонтёров, связанных с беспилотными летательными аппаратами. Злоумышленники, чья активность ранее отслеживалась под идентификаторами UAC-0244 и UAC-0247, используют социальную инженерию и многоступенчатую инфраструктуру для доставки вредоносного программного обеспечения. Жертвами становятся те, кто интересуется получением гуманитарной помощи или участвует в конференциях по FPV-дронам. Анализ кампании показал, что атакующие постоянно совершенствуют свои методы, хотя и допускают ошибки в конфигурации серверов.

Описание

Вектор атаки начинается с фишингового сообщения, содержащего вложение - LNK-файл (файл ярлыка Windows). Внешне файл выглядит как документ с названием "Форма заявки на гуманітарну допомогу фонд УкрВарта". УкрВарта - реально существующий фонд, который оказывает помощь подразделениям, оснащая их FPV-дронами и средствами радиоэлектронной борьбы. Злоумышленники мастерски подделывают его бренд, чтобы вызвать доверие у цели. При открытии LNK-файла запускается легитимная утилита Windows mshta.exe, которая, в свою очередь, выполняет скрипт HTA (HTML Application). Этот сценарий является лишь обёрткой, загружающей основной вредоносный код из внешнего источника.

Первоначальная версия HTA-файла содержала весь логический блок внутри себя: обфусцированный на JavaScript код использовал ActiveX для создания папки "%LOCALAPPDATA%\OneDriveUpdater", загружал полезную нагрузку с сервера через PowerShell, декодировал её с помощью XOR-ключа "fuck" и записывал на диск как OneDriveUpdater.exe. После этого создавалась задача в планировщике Windows с именем "OneDrive Updater", которая запускала скачанный файл каждые десять минут. Однако в более новой версии атакующие отказались от PowerShell в пользу утилиты curl, что позволяет обходить механизмы AMSI (антивирусного интерфейса Windows) и сигнатуры, ориентированные на типичные команды PowerShell. Теперь скрипт лишь подгружает внешний JavaScript, а само скачивание происходит напрямую в обход промежуточного декодирования. Имя задачи также изменилось на "OneDriveUpdater" (без пробела), а флаг "/f" в команде schtasks позволяет принудительно перезаписывать существующие задачи.

Эволюция загрузчика хорошо видна при сравнении старой и новой версий HTA. В своём анализе исследователь отметил, что на сервере ukrvarta[.]online были найдены файлы "dopomoga.hta.old" и "dopomoga.hta". Различия показывают, что злоумышленники постепенно упрощают код: переносят логику во внешние скрипты, меняют каталоги с "/conference/" на "/dopomoga/" и убирают громоздкие команды PowerShell. Однако они по-прежнему используют один и тот же IP-адрес управляющего сервера - 109.237.97.4, размещённый у хостинг-провайдера nuxt[.]cloud. Интересно, что злоумышленники применяли геозонирование: первоначально ресурс был доступен только из определённых регионов, но исследователь смог обойти это ограничение с помощью специальной настройки. После того как он скачал все необходимые образцы, атакующие исправили уязвимость конфигурации, сделав файлы недоступными, что говорит о том, что они мониторят свою инфраструктуру.

Конечная полезная нагрузка - файл updater.exe (SHA256: c06cc6122b798f88a05a088bfed39594af86ba714da89fec5ca62d7119782df9) представляет собой загрузчик, написанный на C/C++ для 64-разрядной Windows. Он лишён обычных импортов и динамически разрешает системные вызовы NTDLL по CRC32-хэшам, что затрудняет статический анализ и обходит хуки пользовательского режима. Загрузчик ищет процесс RuntimeBroker.exe и внедряет в него шелл-код, предварительно выделив память с правами чтения/записи. Затем он переводит область в состояние PAGE_NOACCESS, выжидает примерно 48 секунд и только после этого меняет атрибуты на PAGE_EXECUTE_READ, после чего запускает поток с внедрённым кодом. Такая техника позволяет обойти многие песочницы, которые не ждут столь длительной задержки.

Внутри шелл-кода находится ещё один слой: он распаковывает LZNT1-сжатый и XOR-зашифрованный образ финальной программы. После декомпрессии получается исполняемый файл с внутренним именем EncryptedReverseShell.exe. Он устанавливает TCP-соединение с IP-адресом 109.237.97.4 на порт 8443 и реализует обратную оболочку (reverse shell) с шифрованием трафика. Команды передаются с XOR-ключом длиной 9 байт (01 01 02 03 74 15 04 ff ee), а встроенная строка "Connected!" сигнализирует о готовности к приёму инструкций. Злоумышленник может отправлять произвольные команды через cmd.exe, а вывод перехватывается, шифруется и отправляется обратно на сервер. Таким образом, атака даёт полный удалённый доступ к заражённой системе.

Хронология инцидентов также показательна. Согласно логам сервера, активность в период с 24 февраля по 22 марта 2026 года была сосредоточена в вечернее время. Из 12 зафиксированных событий 10 произошли в промежутке с 20:00 до 22:59 по местному времени (UTC+3, как предполагается из размещения хостинга). Это указывает на то, что операторы кампании, вероятно, работают в конкретном часовом поясе и предпочитают ночные часы для загрузки новых образцов или управления инфраструктурой. Такие данные помогают специалистам по безопасности лучше понимать поведение угрозы.

Подводя итог, можно сказать, что кампания UAC-0247 (теперь объединённая с UAC-0244) демонстрирует высокую степень адаптации: от простых HTA-дропперов до многоуровневых загрузчиков с шифрованием и инжекцией в доверенные процессы. Злоумышленники активно используют легитимные инструменты Windows (mshta, curl, schtasks) и реальные благотворительные организации для обмана жертв. Несмотря на некоторые технические ошибки, которые позволили исследователям изучить их инфраструктуру, угроза остаётся серьёзной. Основной рекомендацией для организаций, связанных с обороной и волонтёрской деятельностью, является повышенное внимание к любым вложениям из непроверенных источников, особенно если они ссылаются на операции с дронами или гуманитарную помощь. Обучение персонала и использование современных средств защиты конечных точек, способных анализировать цепочки выполнения, могут существенно снизить риск успешного заражения.

Индикаторы компрометации

IPv4

  • 109.237.97.4

IPv4 Port Combinations

  • 109.237.97.4:8443

URLs

  • https://mantis.malwarebox.eu/shared/CfM6gyW98O01VIEtA6C6dev-GjptVRqt
  • https://mantis.malwarebox.eu/shared/x8qqIok5CDYARdCwJP4GKz9d7j8Ewr9q
  • https://ukrvart.online/dopomoga/updater.txt
  • https://ukrvarta.online/conference/updater.txt
  • https://ukrvarta.online/dopomoga/updater.txt

MD5

  • 1c95b3d3ac3d6f9c839df333532060b4
  • 44fe18a23d6d2ca53a7234a934f438db

SHA256

  • 268400390be82fcb46f1b23e0319f2f2ba477e392014b41b57df587b99ecc3c5
  • 8040da63a8f5be3fec9724d6d6e6f101f5336d99be309bf0b7cd781f12aace15
  • b1d765f50f5c53702658b7a59a9bd05cfb042ea6b2d150191a84c53d373b9e4a
  • c06cc6122b798f88a05a088bfed39594af86ba714da89fec5ca62d7119782df9

Комментарии: 0
Похожие записи
0
19.03.2025
Индикаторы компрометации

Фишинговая атака на университет Падуи: как злоумышленники похитили данные 200 студентов и сотрудников

phishing
В последние дни университет Падуи (UniPd) столкнулся с масштабной фишинговой атакой, в результате которой злоумышленникам удалось скомпрометировать около 200 учетных записей студентов и преподавателей.
0
31.07.2025
Индикаторы компрометации

Злоумышленники используют платформу Replit для распространения фишинговых атак

phishing
Специалисты по информационной безопасности зафиксировали новую волну фишинговых атак, в которых злоумышленники активно используют облачную платформу Replit для размещения вредоносного контента.
1
03.06.2025
Индикаторы компрометации

Итальянские киберпреступники рассылают фишинговые письма от имени налоговой службы

phishing
Исследователи CERT-AGID обнаружили масштабную фишинговую кампанию, в ходе которой злоумышленники рассылают поддельные письма от имени итальянского налогового агентства (Agenzia delle Entrate).