地方自治体と市町村の医療機関、特に臨床病院と救急車部門を対象とした標的型サイバー攻撃の急増が検出されました。
このキャンペーンは脅威クラスタUAC-0247に帰属されており、高度なデータ盗聴、永続化、横展開の手法で知られています。
攻撃チェーンは巧妙に作られたフィッシングメールから始まります。これらは人道支援提案について議論しているように見え、通常は悪意あるウェブリソースにつながるリンクが含まれています。
脅威行為者は場合によって、人工知能を使用して偽のNPOウェブサイト全体を作成し、他の場合は、クロスサイトスクリプティング(XSS)を通じて合法的だが脆弱なサイトを悪用して、悪意あるペイロードをホストしています。
ウクライナの国家コンピュータ緊急対応チーム(CERT-UA)は2026年3月から4月の間に、標的型サイバー攻撃の急増について警告しています。
被害者がリンクをクリックすると、ショートカット(.LNK)ファイルを含むアーカイブがダウンロードされます。このファイルを開くとmshta.exeユーティリティがトリガーされ、HTAスクリプトが処理されます。
このスクリプトはリモートコンテンツを取得して実行し、ユーザーを気を散らすためにおとりフォームを表示しながら、スケジュール済みタスクを通じて実行可能なペイロード(.EXE)をサイレントに配置します。
暗号化されたリバースシェル
最近の事件は、洗練された2段階ローダーの使用を示しています。第2段階は、カスタムコードセクション、動的インポート、リロケーション機能をサポートする独自の実行可能形式を採用しています。
最終的なペイロードは大幅に圧縮され、暗号化されたTCPリバースシェルをドロップし、RAVENSHELLとして知られています。
このステージャーは攻撃者のコマンドサーバーに接続し直し、9バイトのXORキーを使用してトラフィックを暗号化し、CMDを通じてさらなるコマンドを実行する前に初期の「接続しました!」メッセージを送信します。
足がかりが確立されると、マルウェアはC#ベースのリモート管理ツール「AGINGFLY」を配置し、感染したホストの完全な制御を目的として設計されています。
暗号化されたWebソケット通信を通じて、コマンド実行、ファイル転送、スクリーンショットキャプチャ、キーロギング、任意のコード実行が可能です。
AGINGFLYの特徴的な機能は、動的コマンドシステムハンドラーがコマンドサーバーからソースコードとしてダウンロードされ、実行時にコンパイルされることです。
CERT-UAはまた、PowerShellスクリプト「SILENTLOOP」の使用を特定しました。これはTelegramチャネルを通じた継続的なC2通信を管理し、設定パラメータを自動的に更新しています。
このメカニズムにより、攻撃者は主要なインフラストラクチャが破壊されても、接続性を維持することができます。
ブラウザとWhatsAppデータの盗聴
データ盗聴のために、攻撃者は2つの専用ツールを採用しています。保存されたブラウザ認証情報とクッキーを抽出するための「CHROMELEVATOR」と、デスクトップアプリケーションからWhatsAppデータを流出させるための「ZAPIXDESK」です。
複数の影響を受けたシステムの分析は、カスタムサブネットスキャナーと「RUSTSCAN」などの公開ツール、および「LIGOLO-NG」と「CHISEL」によるトンネリングを使用した追加的な偵察と横展開を明らかにしました。
1つのケースでは、調査官は「XMRIG」暗号通貨マイナーがDLLとして実行され、「WIREGUARD」VPNクライアントのパッチ版を通じてこっそり読み込まれていることを発見しました。
CERT-UAは組織にLNK、HTA、JSファイルの実行を制限し、「mshta.exe」、「powershell.exe」、「wscript.exe」などのスクリプティングおよび管理ユーティリティの使用を制限することをお勧めしています。
これらのコントロールを実装することで、UAC-0247クラスタに関連する進化する活動への露出を大幅に減らすことができます。これはウクライナ全土の医療とガバナンスインフラストラクチャを現在積極的に標的としている継続的な脅威です。
翻訳元: https://gbhackers.com/uac-0247-hits-hospitals/
