С февраля 2025 года Государственная группа по реагированию на компьютерные чрезвычайные ситуации Украины (CERT-UA) отслеживает целевую шпионскую кампанию исключительной сложности и опасности. Как подтверждает CERT-UA, операция, отслеживаемая под идентификатором UAC-0226, направлена на хищение конфиденциальной информации из ключевых сегментов национальной инфраструктуры. В фокусе злоумышленников оказались центры военных инноваций, подразделения Вооруженных Сил, правоохранительные органы различного уровня, включая местную полицию, а также органы местного самоуправления, особенно те, что дислоцированы в стратегически чувствительных районах вдоль восточной границы Украины. Эта кампания выделяется своей настойчивостью, адаптивностью и использованием многослойных вредоносных инструментов, главным из которых является шпионский имплант GIFTEDCROOK.
Описание
Механизм первичного заражения демонстрирует изощренную социальную инженерию. Атакующие активно используют фишинговые рассылки, маскируя их под легитимные деловые коммуникации. Электронные письма содержат вложения в формате XLSM-файлов (документы Microsoft Excel с поддержкой макросов). Тематика этих писем тщательно подобрана, чтобы вызвать доверие и интерес у целевой аудитории в силовых и административных структурах. Среди зафиксированных тем фигурируют актуальные для Украины вопросы: разминирование территорий, уведомления о наложении административных штрафов, документы, связанные с производством беспилотных летательных аппаратов (БПЛА), или информация о компенсациях за уничтоженное в ходе боевых действий имущество. Сама угроза скрыта не в очевидном исполняемом файле, а коварно встроена в структуру документа Excel.
Внутри зараженных XLSM-файлов злоумышленники разместили специально написанные макросы. Их задача - извлечь вредоносную "полезную нагрузку", которая замаскирована прямо на листах электронной таблицы в виде строк, закодированных по стандарту Base64. Этот метод позволяет скрыть двоичные данные (исполняемый код) в текстовом представлении, обходя примитивные системы фильтрации. Когда ничего не подозревающая жертва разрешает выполнение макросов (часто после убедительных, но ложных предупреждений в самом документе о необходимости включить содержимое для "корректного отображения"), срабатывает механизм декодирования. Макрос преобразует Base64-строки обратно в исполняемый файл. Однако на этом этапе применяется дополнительная хитрость: декодированный вредоносный файл сохраняется на диск зараженного компьютера без указания расширения. Это делает его менее заметным для пользователя и может затруднить обнаружение некоторыми защитными решениями, ориентированными на известные шаблоны имен файлов. После сохранения макрос инициирует запуск этого безымянного исполняемого объекта, завершая этап первичного заражения системы.
По состоянию на апрель 2025 года аналитикам CERT-UA удалось идентифицировать два основных типа вредоносного ПО, используемого группой UAC-0226 после успешного проникновения. Первый представляет собой программу, написанную на платформе .NET. Ее ключевая особенность заключается в том, что она содержит в своих ресурсах зашифрованный сценарий PowerShell. Этот сценарий, как установили эксперты, является функциональной обратной оболочкой (reverse shell), причем его исходный код был не оригинальной разработкой, а заимствован злоумышленниками напрямую из официального публичного репозитория GitHub, принадлежащего проекту PSSW100AVB. Такое заимствование легитимного кода - распространенная тактика, позволяющая снизить подозрительность и обойти сигнатурные методы детектирования. Основная задача этого .NET-компонента - установить скрытый канал связи с командным сервером злоумышленников, предоставляя им удаленный контроль над системой.
Второй, и гораздо более опасный компонент, получил классификацию GIFTEDCROOK. Это сложный шпионский имплант, написанный на языках C/C++, что обеспечивает ему высокую производительность и возможность глубокой интеграции с операционной системой. GIFTEDCROOK обладает широким спектром шпионских функций, превращая зараженный компьютер в источник утечки критически важных данных. Наиболее опасной его способностью является хищение данных автозаполнения (логинов, паролей) и файлов cookies из популярных веб-браузеров: Google Chrome, Microsoft Edge и Mozilla Firefox. Доступ к этим данным фактически означает компрометацию всех аккаунтов пользователя в интернете, включая корпоративные системы, почту и облачные сервисы. Помимо этого, GIFTEDCROOK способен вести скрытый сбор документов с жесткого диска, перехватывать нажатия клавиш (кейлоггинг), делать скриншоты экрана и собирать системную информацию, что позволяет злоумышленникам детально картировать инфраструктуру жертвы и искать дополнительные векторы для атаки. Его стелс-возможности и устойчивость делают его серьезной угрозой.
Indicators of Compromise
IPv4
- 149.102.246.110
- 37.120.239.187
- 89.44.9.186
IPv4 Port Combinations
- 37.120.239.187:6501
- 89.44.9.186:3240
MD5
- 037e2ca3c97e1a5645cdc45fb0d98064
- 0a178f76c48c038e8bad03a62b52cfc9
- 100cd9d907e986ba8d5fc6d0488557d9
- 1b71d870f34587e0a2717f9925086eab
- 333b09f8865aae5d257b6f11f2fe5d08
- 3394fc2ba0a976818691751aa7f86d05
- 4a2ec9f72b910c0a8e3efc4c334f5bad
- 671b42e854ae2ee3341456fbec7c7787
- 8b694068e5088e0c32739956e28b077e
- 966373dbe28f4111f6ce47038fb343da
- 9c03d0da190d1046583ba9fa83a8bcd3
- 9f6c82c240ba5ef6bb85d28c0cdf7f7f
- b3831f0bace886aaba81873edc20aba4
- b63b783a9aca15726babd599d2963869
- cffdd24742610fe5710dbc9ebd258c64
- d280a258704bf9155bceaf4f731988ea
- daffbfd71f8595ab6d6b8c94cc81a778
- e5f4188682e40e79800ccd165289c844
- f62ea2cbd220596072010e91dd65b673
SHA256
- 0a4777725673f9f7114ddceddd80e5a72ad3a4d20fd2014d4c60e2cc1a6cefc2
- 24a60e50ed8469fc31afa9abfc361291f72922430cf062bf9c4ac7e6d84b5fad
- 2930ad9be3fec3ede8f49cecd33505132200d9c0ce67221d0b786739f42db18a
- 40e68d7240e692ef3301cfaa92a04e0af65f2d725cbfa6711c3154b627fec0f1
- 530185fac69e756fb62f23e21e7c0b0828a964b91bbf40f1d04fc2136c1b6dd1
- 58b38775f655498b134ce8cd52ab0aba05b710f7611e41cbdffdc3597c5d5f3d
- 78ea83bfbca85a39e59fa35c8f704873f3fdad3a5278430e75286247530042b8
- 7ca3f2505e1778e6de3927571ba49d27b36447e6c28a60161d55fd2254966bce
- 8427dc6e7da4c163d20c7f188232cf3f83c78ddb6fcad04cec84b33e0f9bdfc0
- 8a638a788adb0edb6622b16fd8783bc225470f8ff94b1bba4a94b4d8c105acef
- 92183f89b115881535b1bf1985f3ee4b4ebf077bec8cc4de0c6c6e266da0cb87
- a02506468e632875a2c9c9c16e730b8bdc52f7450b28ee7bd8f5ac014b264e53
- a2f651d39b8d97221ad36577e9b50beabdf0ad46aec0c29b6cff624e1e2ffd0c
- c27cf714293c496c8fc05b330a57bcfcb6189267e2818062660de88b0f3a25cd
- c8bb0dbc952c9dc2bbc550a300ed033ad5d2416390891ed1e800b08ad3ab5d3a
- d7a66fd37e282d4722d53d31f7ba8ecdabc2e5f6910ba15290393d9a2f371997
- e852d254395ef04308bcde37c3ee9725ab23ca82a202e7d69028c8bee0f0d05f
- f8a31715840852e8ef04016b31f909123f2aa864f3850c45eb511fd1885b4037
- ff1be55fb5bb3b37d2e54adfbe7f4fbba4caa049fad665c8619cf0666090748a