Eine neue Welle von Intrusionen, die öffentliche Einrichtungen und Gesundheitszentren getroffen hat - vor allem Kliniken und Notfallkliniken - zeigt wieder, wie Angreifer traditionelle Techniken mit modernen Werkzeugen vermischen, um sensible Informationen zu stehlen. Dies wurde durch das ukrainische Computer-Notfall-Responsorteam alarmiert, ZERT-UA die die Tätigkeit zwischen März und April 2026 verfolgt und mit einer Gruppe verbunden hat, die als UAC-0247 bezeichnet wird.
Der Ausgangspunkt für diese Intrusionen ist offensichtlich ein emotionaler Haken: E-Mails, die humanitäre Hilfe versprechen und einen Link enthalten. Dieser Link kann zu einer legitimen Website führen, die durch eine Cross-Site Scribing (XSS) Schwachstelle oder ein falsches Portal mit Hilfe von künstlichen Intelligenz-Tools begangen wird. Die eigentliche Absicht besteht in jedem Fall darin, den Empfänger zu veranlassen, einen direkten Zugriff auf Windows (LNK-Datei) herunterzuladen, der bei Aktivierung eine HTML-Anwendung (HTA) durch das native Dienstprogramm startet mshta.exe. Dieser laufende Fluss nutzt gültige Systemfunktionen, um schädlichen Code zu führen, ohne sofortige Verdacht zu erhöhen.
Während das HTA-Fenster ein Formular oder eine Decoy zeigt, um den Benutzer abzulenken, wird im Hintergrund ein ausführbarer Code in einen legitimen Systemprozess (z.B. runtimeBroker.exe) geladen. Bei einigen der analysierten Intrusionen wurde ein zweistufiges Ladegerät mit einem zweiten Modul mit einem ausführbaren Eigentümerformat mit Unterstützung von Code- und Datenabschnitten, Import von Funktionen und Verlagerungen beobachtet; außerdem wird die letzte Nutzlast komprimiert und verschlüsselt, um es schwer zu erkennen und zu analysieren.
Die identifizierten Komponenten umfassen eine TCP-basierte Reverse Shell, die als RAVENSHELL oder gleichwertige Varianten bekannt ist, die eine Verbindung zu einem Befehls- und Steuerserver öffnet, um Befehle zu empfangen und Befehle von cmd.ex auszuführen. Werkzeuge eingebaut. NET wurde auch heruntergeladen, wie eine Familie mit dem Namen AGINGFLY, die als Backdoor fungiert und mit seinem C2 von WebSockets kommuniziert. Eine Macht Shell-Skript namens SILENTLOOP erscheint als Moderator: Es verwaltet die Ausführung von Aufträgen, Aktualisierungen Einstellungen und erhält die Befehlsserveradresse von einem Telegram-Kanal mit alternativen Methoden bei Ausfall.
Das von den Forschern beschriebene Endziel war die interne Erkundung der angegriffenen Netzwerke, die laterale Bewegung zwischen Systemen und insbesondere die Extraktion von Anmeldeinformationen und sensiblen Daten, die in Chrom-basierten Browsern und in WhatsApp Web gespeichert sind. Um dies zu erreichen, nutzten die Betreiber mehrere Open Source-Dienstprogramme, die beispielsweise erlauben, bestimmte Chromium-Schutz zu vermeiden, um auf Cookies zuzugreifen und gespeicherte Passwörter zu speichern, lokale WhatsApp-Web-Datenbanken zu extrahieren und Tunnel aus dem Netzwerk zu entwickeln, um Informationen auszufiltern oder zusätzliche Anweisungen zu erhalten.
Werkzeuge wie Chisel und andere Tunnellösungen, die öffentliche Repositorien und legitime Verwendung in Verwaltung und Test haben, wurden von Angreifern wiederverwendet, um persistente Kommunikationskanäle zu schwenken und zu pflegen. RustScan wird als Beispiel für Netzwerkscanner genannt, der die Erkennung erleichtert, und in einigen Zwischenfällen wurde sogar Kryptomoneda Bergbau-Software in den engagierten Teams entdeckt, was eine Kombination von Zielen anzeigt: von der Spionage bis zur direkten Monetisierung des Zugangs.
Ein weiterer relevanter Aspekt des Musters ist die Verteilung an bestimmte Kollektive durch verschlüsselte Messaging. CERT-UA erkannte schädliche Signalverbringungen, die ZIP-Dateien enthalten, die bereit sind, AGINGFLY mit der Technik, die als Side-Ladung von DLL bekannt ist, einzusetzen, um legitime Anwendungen in das Laden von manipulierten Bibliotheken zu Trick. Diese Beweise deuten darauf hin, dass neben den zivilen Institutionen auch Vertreter der ukrainischen Verteidigungskräfte gezielt wurden.
Um die operative Dimension der Bedrohung zu verstehen, ist es angebracht, sich auf technische Quellen auf jedes der Elemente, die im Angriff erscheinen, zu beziehen. Der Missbrauch legitimer Gewinne des Systems, wie mshta.exe o PowerShell, ist ein Muster, das von Herstellern und Sicherheitsausrüstungen bekannt und dokumentiert wird, weil es Angreifern ermöglicht, nahezu unsichtbare Lasten in zuverlässigen Prozessen auszuführen. Die oben genannten Tunnel- und Scan-Tools, mit öffentlichen Projekten auf Plattformen wie GitHub, können konsultiert werden, um zu verstehen, wie legitime Ressourcen für schädliche Zwecke neu interpretiert werden; zum Beispiel ist das Chisel-Projekt in seinem offiziellen Repository in GitHub und RustScan kann bei Ihr Projekt. Die Anwesenheit von Bergleuten wie XMRig ist auch einfach zu überprüfen auf Ihrer offiziellen Website xmrig.com.
Welche praktischen Lehren lässt dieser Fall? Die erste ist, dass effektive Kampagnen soziales Engineering mit Missbrauch legitimer Systemfunktionalitäten kombinieren, die Kontrollen sowohl auf dem Umfang als auch innerhalb des Netzes erfordert. Beschränken Sie die Fähigkeit, NK Shortcuts, HTA-Anwendungen und JS-Skripte auszuführen, und steuern Sie die Verwendung von Verwaltungsfunktionen wie mshta.exe, powerhell. exe oder wscript. exe reduziert Angriffsflächen und zwingt den Angreifer, mehr laute oder komplexe Methoden zu verwenden, um Persistenz zu erreichen. Auch die Überwachung ungewöhnlicher ausgehender Verbindungen, die Überprüfung kritischer Prozessintegrität und die Blockierung unbekannter Nutzlasten in Postkonten und Messaging-Anwendungen sind komplementäre Maßnahmen.
Auf organisatorischer Ebene beschleunigt die frühzeitige Benachrichtigung und der Austausch von Verpflichtungsindikatoren zwischen Sicherheitsbehörden und Anbietern die Erkennung und Reaktion. Antwortgruppen wie CERT-UA veröffentlichen Warnungen und Analysen, die zur Koordinierung der Minderung dienen; ihr Portal kann bei zert.gov.ua. Für technische und sicherheitsrelevante Geräte empfiehlt es sich, die Minderungsleitlinien und die Richtlinien für die Sperrung der Ausführung von unsignierten Dateien oder gefährlichen Dateitypen zu überprüfen sowie Segmentierung und minimale Zugriffskontrollen anzuwenden, um den Umfang eines Eindringens zu begrenzen.
Kurz gesagt, diese Kampagne ist eine Erinnerung daran, dass die Kombination von glaubwürdigen Lures, die Ausbeutung legitimer Websites (oder von Seiten, die von IA erzeugt werden) und die Verwendung von administrativen Werkzeugen des Systems selbst eine effektive Formel für Ressourcendarsteller bleibt. Die Verteidigung besteht darin, die Belichtungsfenster durch technische Kontrollen, Sicherheitspolitiken und Schulungen zu reduzieren, damit die Mitarbeiter nicht in den ursprünglichen Köder fallen.
Um die Informationen mit technischer Analyse und Empfehlungen zu erweitern, ist es neben der offiziellen Kommunikation von CERT-UA sinnvoll, Dokumentationen und Warnungen über den Missbrauch von Windows-Dienstprogrammen und von Herstellern und Antwortzentren veröffentlichten Seiten und Repositorien der oben genannten Tools zu überprüfen.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...