Специалисты CERT-UA зафиксировали новую вредоносную кампанию с использованием семейства AgingFly, направленную на государственные структуры и медицинские организации. Основная цель атак — кража учётных данных, паролей из браузеров и переписки из WhatsApp. Кампанию связывают с хакерами из группы UAC-0247, в зоне риска находятся гражданские учреждения и представители оборонного сектора.
Атака начинается с письма на тему гуманитарной помощи со ссылкой, которая ведёт либо на взломанный сайт с XSS-уязвимостью, либо на поддельную страницу, собранную с помощью ИИ. На устройство загружается архив с ярлыком LNK, при запуске которого активируется цепочка через HTA-компоненты, подтягивающие дополнительный код с удалённого ресурса.
Пользователю в этот момент показывают отвлекающее окно, пока система получает задачу в планировщике для запуска следующего этапа. Загрузчик работает в два этапа, полезная нагрузка зашифрована и упакована, а соединение с сервером управления устанавливается через TCP с простым шифрованием.
PowerShell-сценарий SILENTLOOP отвечает за обновление конфигурации и получение адресов управляющих серверов, в том числе через каналы в Telegram, что позволяет атаке оставаться активной даже при частичной блокировке инфраструктуры.
После закрепления в системе запускается основной модуль AgingFly, написанный на C#. Операторы получают полный контроль над устройством, могут выполнять команды, выгружать файлы, делать скриншоты, записывать нажатия клавиш и запускать произвольный код. Связь с управляющей инфраструктурой строится через WebSockets, трафик шифруется с помощью AES-CBC.
Особенность архитектуры в том, что заранее прописанных команд нет. Вредоносный модуль получает исходный код с сервера и собирает нужные функции прямо на машине жертвы.
Для кражи данных из браузеров используется инструмент ChromElevator, который вытаскивает cookies и сохранённые пароли из Chrome, Edge и других Chromium-решений без прав администратора. Одновременно идёт попытка добраться до данных WhatsApp на Windows через расшифровку локальных баз.
После этого злоумышленники переходят к разведке внутри сети, используют RustScan для поиска открытых портов, а Ligolo-ng и Chisel для создания туннелей и перемещения между системами. Кампания ориентирована не на быстрый удар, а на постепенное расширение доступа и глубокую работу внутри инфраструктуры.
* Корпорация Meta, владеющая WhatsApp, признана экстремистской организацией и запрещена на территории Российской Федерации.