Ukraine Vorfall Antwort Teams vor kurzem identifiziert eine neue Malware-Familie, die getauft als Agro-Fly, in Kampagnen gegen lokale Behörden und Gesundheitszentren eingesetzt. Laut dem öffentlichen Bericht von CERT-UA suchten Intrusionen nicht nur institutionelle Informationen: Forensische Beweise legen nahe, dass es auch Versuche gab, Personal in Verbindung mit den Verteidigungskräften zu engagieren.
Der Einstiegspunkt ist klassisch, aber effektiv: eine E-Mail-Nachricht, die ein humanitäres Hilfsangebot simuliert und einen Link für "mehr Informationen" beinhaltet. Dieser Link kann zu einer legitimen Website führen, die zuvor durch Cross-Site-Scribing (XSS) oder eine gefälschte Seite, die von künstlichen Intelligenz-Tools erstellt wurde verletzt wurde. Ziel ist es, den Benutzer dazu zu veranlassen, eine komprimierte Datei mit einem direkten Zugriff (LNK) herunterzuladen, die bei der Aktivierung den Windows-integrierten HTA-Handler anruft.
Die HTA-Datei wird heruntergeladen und von einer Remote-Ressource ausgeführt, zeigt ein Ablenkungsformular, um Verdacht zu vermeiden und eine geplante Aufgabe zu erstellen, deren Zweck es ist, ein ausführbares zu wiederherstellen und zu starten. Diese EXE injiziert Shellcode in einem legitimen Prozess und gibt einen zweistufigen Ladegerät: Die zweite Phase verwendet ein benutzerdefiniertes ausführbares Format und die letzte Nutzlast kommt komprimiert und verschlüsselt an.
Um die Kommunikation mit ihren Operatoren zu etablieren, haben Angreifer "staging" Techniken verwendet: TCP-basierte Reverse Shell Stackers (CERT-UA erwähnt RAVENSHELL Äquivalente) und einen verschlüsselten Kanal mit XOR an einen Befehls- und Steuerserver (C2), um Befehle über den Windows-Befehlsinterpreter auszuführen. Darüber hinaus verwenden die Betreiber ein PowerShell-Skript namens SILENTLOOP, das die Ausführung von Aufträgen, Aktualisierungen von Konfigurationen steuert und die C2-Adresse von einem Telegram-Kanal oder von Buchungsmechanismen erhält.
Die letzte Last, AgingFly, wird in C # geschrieben und bietet Fernbedienung, Befehlsausführung, Dateiexfiltration, Bildschirmerfassung, Schlüsselprotokoll und die Möglichkeit, beliebigen Code auszuführen. Eine relevante Besonderheit ist, dass Malware seine Befehlshandhaber nicht intern speichert: Statt sie einzuschließen, erholt es sie als Quellcode vom C2-Server und kompiliert sie in Laufzeit an die Opfermaschine. Als ZERT-UA Diese Strategie reduziert die Größe der anfänglichen Nutzlast und ermöglicht es den Angreifern, Funktionalitäten auf Anfrage zu ändern oder zu erweitern, obwohl zu den Kosten je nach Konnektivität zum C2 und Erhöhung der Footprint in der Zeit der Ausführung.
Bei mehreren der analysierten Intrusionen entfernten die Verantwortlichen auch Anmelde- und Navigationsdaten. Sie nutzten Open Source forensic-Tools, die von Chromium-basierten Browsern gespeicherte Informationen wie Cookies und gespeicherte Passwörter ohne administrative Privilegien extrahieren und entschlüsseln könnten. Ebenso versuchten sie, Daten von der WhatsApp-Anwendung für Windows durch Dienstprogramme zu wiederherstellen, die es Ihnen ermöglichen, Ihre lokalen Datenbanken zu entschlüsseln.
Der Schauspieler hinter diesen Operationen war nicht auf den Diebstahl der Anmeldeinformationen beschränkt: Er führte Aufklärungs- und Seitenbewegungsaktivitäten innerhalb der engagierten Netzwerke durch. Für diese Phasen verwendet es bekannte öffentliche Tools in der Community, einschließlich Portscanner und Tunneling-Lösungen, die den Zugriff und die Umladung des Verkehrs auf Server außerhalb des Zielnetzes erleichtern. Öffentliche Repositorien wie Ruscan, ligolo-ng und Ziegensip sind Beispiele für Projekte, die, obwohl legitim, für diese Zwecke in den Händen von schädlichen Akteuren verwendet werden können.
CERT-UA hat diese Kampagnen einem Cluster von Bedrohungen zugeschrieben, die sie als UAC-0247 aufnehmen und technische Indikationen und Minderungen veröffentlicht hat. Dazu gehören eine ausdrückliche Empfehlung, die Ausführung von LNK-, HTA- und JS-Dateien als Maß für die Unterbrechung der von diesen Operatoren verwendeten Angriffskette zu blockieren.
Neben der Blockierung von Dateitypen gibt es praktische Maßnahmen, die das Risiko reduzieren: Multifaktor-Authentifizierung in allen Konten aktivieren, freiliegende Passwörter drehen, lokale Privilegien begrenzen, programmierte Aufgaben überprüfen und einschränken, ungewöhnliche ausgehende Verbindungen überwachen und EDR-Lösungen verwenden, die Prozessinjektionen oder dynamische Kompilationen erkennen. Organisationen sollten auch die E-Mail-Hygiene mit Link- und Sandboxing-Filterung stärken und Sensibilisierungsprogramme für Mitarbeiter beibehalten, um Zeichen als Hilfeangebote oder unerwartete komprimierte Dateien zu identifizieren.
Wenn Sie auf der Suche nach Referenzen zur Vertiefung sind, können Sie den CERT-UA technischen Hinweis lesen, wo Indikatoren und Taktiken detailliert sind: CERT-UA: Alterung Fly Bericht. Für die Leitfaden für die Minderung und die anwendbaren Regeln in Windows-Umgebungen ist es angezeigt, Microsofts Dokumentation über Angriffsflächenreduktion und ASR-Regeln zu überprüfen, die die Ausführung gefährlicher Dateitypen blockieren können: Microsoft Defender - Attack Surface Reduction. Und für beste Praktiken gegen Phishing, die CISA-Agentur hält praktische Empfehlungen und Trainingsressourcen: CISA - Sicherheitshinweise und Alarme.
Der Fall von AgingFly erinnert an zwei wichtige Lektionen: erstens, dass viele Intrusionsketten mit sehr einfachen Social Engineering-Techniken beginnen; zweitens, dass legitime Open Source-Entwicklungen und Management-Tools von Angreifern für Zwecke der Spionage oder Sabotage wiederverwendet werden können. In diesem Zusammenhang bleibt die Kombination von technischen Kontrollen, kontinuierlicher Sichtbarkeit und Personalausbildung die wirksamste Verteidigung für Organisationen mit sensiblen Profilen wie lokalen Regierungen und Krankenhäusern.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...