## AgingFly-Malware zielt auf ukrainische Krankenhäuser und Regierung in Spionagekampagne Hacker haben in einer neuen Spionagekampagne ukrainische Krankenhäuser und lokale Regierungsstellen mit einem Malware-Tool namens **AgingFly** ins Visier genommen, so Forscher. **CERT-UA** berichtete, dass die Aktivität von einer Gruppe namens UAC-0247 durchgeführt wurde, die in den letzten zwei Monaten mehrere Angriffe auf Stadtverwaltungen, Kliniken und Rettungsdienste gestartet hat. Hacker versuchten, sensible Daten zu stehlen und in einigen Fällen kompromittierte Systeme zur Kryptowährungsschürfung auszunutzen, so **CERT-UA**. ### Phishing-Angriffe und bösartige Payloads Die Angriffe begannen typischerweise mit Phishing-E-Mails, die sich als Diskussionen über Vorschläge für humanitäre Hilfe ausgaben. Die Opfer wurden aufgefordert, einem Link zu folgen, der zum Download einer bösartigen Archivdatei führte. Um die Nachrichten überzeugender zu gestalten, erstellten Angreifer manchmal Websites für gefälschte Organisationen – möglicherweise mithilfe künstlicher Intelligenz generiert – oder betteten bösartige Skripte in ansonsten legitime Websites ein. Nach dem Öffnen installierte das Archiv mehrere Malware-Komponenten, darunter **AgingFly**, **SilentLoop**, **ChromeElevator** und **ZapixDesk**. ### AgingFly-Fähigkeiten **CERT-UA** gab an, dass **AgingFly** es Angreifern ermöglicht, einen infizierten Computer fernzusteuern, Befehle auszuführen, Dateien herunterzuladen, Screenshots zu erstellen, Tastatureingaben aufzuzeichnen und beliebigen Code auszuführen. Ein weiteres Tool, **SilentLoop**, kann Befehle ausführen und die aktuelle Adresse des Command-and-Control-Servers der Angreifer über einen **Telegram**-Kanal abrufen. Die Angreifer versuchten auch, Authentifizierungsanmeldedaten und andere sensible Informationen aus Internetbrowsern mit **ChromeElevator** oder aus **WhatsApp**-Konten mit einem Tool namens **ZapixDesk** zu extrahieren. In einem Fall stellten Ermittler die Verwendung von **XMRig** fest, einem legitimen Kryptowährungs-Mining-Tool, was darauf hindeutet, dass Angreifer möglicherweise die Computerressourcen der Opfer zur Generierung digitaler Währungen genutzt haben. ### Zielsetzung von Verteidigungskräften **CERT-UA** warnte auch, dass Mitglieder der ukrainischen Streitkräfte durch ähnliche Taktiken ins Visier genommen werden könnten. Im März erhielt die Agentur Berichte, dass Angreifer über die **Signal**-Messaging-App ein angeblich aktualisiertes Softwarepaket für Drohnenbetreiber verbreitet hatten. Die Archivdatei enthielt stattdessen Malware, die **AgingFly** installierte. ### APT28-Aktivitäten Anfang dieser Woche berichtete **Reuters**, dass in einem separaten Vorfall russisch-verbundene Hacker mehr als 170 E-Mail-Konten von Staatsanwälten und Ermittlern in der Ukraine sowie von Zielen in benachbarten **NATO**-Ländern und auf dem Balkan kompromittiert haben. Cyber-Forscher von **Ctrl-Alt-Intel** ordneten diese Kampagne der Gruppe zu, die als **APT28** bekannt ist und auch als **Fancy Bear**, **BlueDelta** oder **Forest Blizzard** bezeichnet wird. Forscher sagten, die Hacker hätten wahrscheinlich ukrainische Strafverfolgungsbehörden ins Visier genommen, um Ermittlungen zu russischer Spionageaktivität zu überwachen oder potenziell sensible Informationen über hochrangige Beamte in Kiew zu sammeln. [](https://www.recordedfuture.com/platform?mtm_campaign=ad-unit-record)