UAC-0184 атакует украинские органы власти, используя изощренную цепочку внедрения вредоносного ПО

Атака была нацелена на получение конфиденциальной информации. Злоумышленники использовали темы, связанные с якобы имеющими место случаями фальсификации архивов военнослужащих и отказа в выплате компенсаций семьям погибших. Эта тактика направлена на провоцирование эмоционального отклика и повышение вероятности успешной компрометации среди целевой аудитории, связанной с оборонным сектором.

Многоэтапная цепочка атаки

Инициация атаки произошла через популярный в Украине мессенджер Viber. Злоумышленники отправили целевым пользователям архивный файл с именем "А2393.zip". Внутри архива находились файлы ярлыков (LNK), замаскированные под документы, такие как «Запит із Верховної Ради» (Запрос из Верховной Рады). При открытии эти LNK-файлы запускали скрытый процесс.

Затем вредоносная нагрузка (payload) использовала комбинацию техник для обхода систем безопасности. Изначально запускался легитимный процесс "CFlux.exe", который, в свою очередь, загружал вредоносную библиотеку "CDWizard.dll" с помощью техники DLL Side-Loading (боковой загрузки DLL). Этот метод использует уязвимости в механизме поиска библиотек операционной системы для загрузки вредоносного кода под видом легитимного.

Далее атака усложнилась. Вредоносный код использовал нестандартный перенос управления, перепрыгивая на жестко заданные адреса в памяти, что затрудняет статический анализ. Для сокрытия основной вредоносной активности применялась техника Module Stomping (подмены модуля). Злоумышленники загружали в память легитимную системную библиотеку, такую как "evr.dll", а затем перезаписывали ее исполняемый код своим собственным шелл-кодом. Этот подход маскирует вредоносную активность под легальные системные процессы.

Внедрение загрузчика и финальная полезная нагрузка

Расшифрованный шелл-код отвечал за сборку и выполнение следующего этапа - загрузчика HijackLoader. Интересно, что конфигурационные данные для этого загрузчика были скрыты внутри файла изображения в формате PNG с помощью стеганографии. Код извлекал и собирал фрагменты данных из секций IDAT изображения, после чего расшифровывал их для получения полного загрузчика.

HijackLoader, в свою очередь, является сложным инструментом, предназначенным для развертывания финальной полезной нагрузки. Он обладает широким набором функций для противодействия защите. Например, его модуль "AVDATA" содержит хэш-списки процессов популярных антивирусных решений, чтобы избегать их. Модуль "TinycallProxy" использует технику подделки стека вызовов, чтобы замаскировать вредоносные вызовы функций под легитимную активность загруженной ранее библиотеки "CDWizard.dll".

Для обеспечения устойчивости (persistence) загрузчик создает запланированную задачу в Windows. Кроме того, имена переменных окружения, используемых для передачи конфигурации между этапами, динамически генерируются на основе имени компьютера жертвы. Это делает каждый экземпляр атаки уникальным и осложняет обнаружение по статическим сигнатурам.

Финальной целью всей цепочки было внедрение трояна удаленного доступа Remcos RAT в процесс легитимной программы "Chime.exe". Remcos - это мощный инструмент, который, несмотря на наличие легальных применений для удаленного администрирования, часто злоупотребляется хакерами. Он предоставляет злоумышленникам полный контроль над системой, включая кражу данных, запись нажатий клавиш, захват экрана и выполнение произвольных команд.

Атрибуция и выводы

Исследователи с высокой степенью уверенности приписывают эту кампанию группе UAC-0184. Это заключение основано на нескольких ключевых факторах. Во-первых, тематика документов-приманок точно соответствует долгосрочным интересам группы, сфокусированным на украинских государственных и военных учреждениях. Во-вторых, использование Viber в качестве канала доставки соответствует ранее наблюдаемой тактике группы по эксплуатации популярных коммуникационных платформ. В-третьих, связка инструментов HijackLoader и Remcos RAT является отличительной чертой деятельности UAC-0184.

Данный инцидент демонстрирует продолжающуюся эскалацию цифровых угроз в регионе. Атака характеризуется высоким уровнем технической изощренности, сочетающим социальную инженерию с продвинутыми методами обхода защиты, такими как боковая загрузка DLL, подмена модулей и стеганография. Эксперты по безопасности рекомендуют украинским организациям, особенно в госсекторе и оборонной промышленности, усилить меры кибергигиены. Критически важно повышать осведомленность пользователей о фишинговых угрозах, строго применять принцип наименьших привилегий, использовать современные решения для защиты конечных точек (Endpoint Detection and Response, EDR) и регулярно обновлять системы для ликвидации уязвимостей, используемых в подобных атаках.

IPv4

• 5.101.85.24

URLs

• http://5.101.85.24/k4s/spear.ps1
• http://5.101.85.24/k4s/tune.ps1
• http://5.101.85.24/smoothieks.zip

MD5

• 1ce195f66d79587d583e4792ceb1c898
• 739dea9edc813c83cc488010cbdc10f6
• 77da028b852acdcdcf4b46b23e79ac66
• f7a93c7918a4d8837519eb6619c25b90