Кибершпионы UAC-0057 усиливают атаки на Украину и Польшу с обновлённым инструментарием

Атаки начинаются с фишинговых писем, содержащих архивы с вредоносными XLS-файлами. Эти документы используют макросы, замаскированные под легитимные данные, такие как списки контрактов или правительственные инструкции. Для украинских целей злоумышленники применяли документы, тематически связанные с Министерством цифровой трансформации Украины, в то время как для польских целей использовались приглашения на собрания сельских муниципалитетов.

После запуска макроса происходит сложная цепочка действий: на систему жертвы загружается DLL-библиотека, которая затем активируется через стандартные системные утилиты, такие как regsvr32.exe или rundll32.exe. Этот подход позволяет злоумышленникам обходить базовые средства защиты. Для сокрытия кода активно используются инструменты MacroPack и ConfuserEx, что затрудняет анализ и обнаружение угроз.

Вредоносные библиотеки, написанные на C# и C++, выполняют сбор информации о системе: данные об операционной системе, имени хоста, учетной записи пользователя, установленном антивирусном ПО и внешнем IP-адресе. Собранные данные отправляются на управляющие серверы, замаскированные под легитимные ресурсы, например, под сайты с шутками или рукоделием. Для связи также применяется Slack, где создаются специальные рабочие пространства с бесплатными аккаунтами.

Инфраструктура группы тщательно продумана: домены регистрируются через PublicDomainRegistry с использованием почтовых сервисов Proton, а для маскировки трафика применяются серверы Cloudflare. URL-адреса серверов управления копируют пути легальных сайтов, что усложняет их идентификацию системами защиты.

Целями атак становятся государственные и военные учреждения Украины, а также польские организации, связанные с местным самоуправлением. По мнению аналитиков, группировка сохраняет высокую дисциплину в выборе целей и продолжает адаптировать свои инструменты, чтобы избегать обнаружения.

Эксперты отмечают, что UAC-0057 демонстрирует лишь незначительные изменения в методах работы, предпочитая стабильность операций максимальной скрытности. Это указывает на то, что группа focused на долгосрочных шпионских кампаниях, а не на немедленном извлечении выгоды. Ожидается, что в ближайшем будущем атаки продолжатся, возможно, с расширением географии на другие страны Восточной Европы.

Рекомендуется усилить контроль за фишинговыми рассылками, отключить выполнение макросов в документах по умолчанию и использовать системы мониторинга, способные обнаруживать аномальную активность, связанную с загрузкой и выполнением скриптов через системные утилиты.

Domains

• curseforge.icu
• kitchengardenseeds.icu
• medpagetoday.icu
• pesthacks.icu
• punandjokes.icu
• sweetgeorgiayarns.online
• taskandpurpose.icu

URLs

• https://files.slack.com/files-pri/T08N1F1F64W-F08P2HJNU2F/ocnijrarcjvzenxyqhztf.jpg
• https://files.slack.com/files-pri/T08NWSF1L78-F08NQETU5M5/owjomlhoms.jpg
• https://hooks.slack.com/services/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
• https://hooks.slack.com/services/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
• https://kitchengardenseeds.icu/seed-index/flowers/habitat-gardens.jpg
• https://medpagetoday.icu/nicheediting/trends
• https://punandjokes.icu/cannabis-jokes.jpg
• https://sweetgeorgiayarns.online/wp-content/uploads/2025/04/06102226/Kims-hand-cards.jpg
• https://taskandpurpose.icu/hews/coast-guard-0reg0n-c0ncrete.jpg

SHA256

• 06380c593d122fc4987e9d4559a9573a74803455809e89dd04d476870a427cbe
• 082877e6f8b28f6cf96d3498067b0c404351847444ebc9b886054f96d85d55d4
• 082903a8bec2b0ef7c7df3e75871e70c996edcca70802d100c7f68414811c804
• 26ea842c4259c90349a1f4db92efa89ac4429a5ff380e7f72574426cfd647f1a
• 3b5980c758bd61abaa4422692620104a81eefbf151361a1d8afe8e89bf38579d
• 3fff6c8a8ef3f153ebbe6d469a0d970953358a25bb9b4955a2592626f011cbd6
• 559ee2fad8d16ecaa7be398022aa7aa1adbd8f8f882a34d934be9f90f6dcb90b
• 57e0280dc5b769186588cc3a27a8a9be6f6e169551bbef39f95127e9326627f2
• 5df1e1d67b92e2bba8641561af9967e3a54ec73600283c66b09c8165ddcb7de9
• 5fa19aa32776b6ab45a99a851746fbe189f7a668daf82f3965225c1a2f8b9d36
• 69636ddc0b263c93f10b00000c230434febbd49ecdddf5af6448449ea3a85175
• 699c50014cdbe919855c25eb35b15dfc8e64f73945187da41d985a9d7be31a71
• 6e562afa3193c2ca5d2982e04de78cf83faa203534a6098ab5f08df94bbeb944
• 707a24070bd99ba545a4b8bab6a056500763a1ce7289305654eaa3132c7cbd36
• 730c1a02bb31d548d91ba23fce870b1dc53c4802ea4fcb0d293f96de670d74af
• 7c77d1ba7046a4b47aec8ec0f2a5f55c73073a026793ca986af22bbf38dc948c
• 8a057d88a391a89489697634580e43dbb14ef8ab1720cb9971acc418b1a43564
• a2a2f0281eed6ec758130d2f2b2b5d4f578ac90605f7e16a07428316c9f6424e
• aac430127c438224ec61a6c02ea59eb3308eb54297daac985a7b26a75485e55f
• c7e44bba26c9a57d8d0fa64a140d58f89d42fd95638b8e09bc0d2020424b640e
• deaa3f807de097c3bfff37a41e97af5091b2df0e3a6d01a11a206732f9c6e49c
• f6fec3722a8c98c29c5de10969b8f70962dbb47ba53dcbcd4a3bbc63996d258d