## UAC-0247 zielt mit Datendiebstahl-Malware auf ukrainische Einrichtungen Das **Computer Emergencies Response Team der Ukraine (CERT-UA)** hat eine neue Kampagne aufgedeckt, die auf ukrainische Regierungs- und kommunale Gesundheitseinrichtungen, darunter Kliniken und Notfallkrankenhäuser, abzielt. Die Angriffe liefern Malware, die darauf ausgelegt ist, sensible Daten aus Chromium-basierten Webbrowsern und **WhatsApp** zu stehlen. ### Details zur Kampagne Die bösartige Aktivität, die zwischen März und April 2026 beobachtet wurde, wurde einem Bedrohungscluster namens **UAC-0247** zugeordnet. Die Ursprünge dieser Kampagne sind derzeit unbekannt. Laut **CERT-UA** beginnt der Angriff mit einer E-Mail, die vorgibt, humanitäre Hilfe anzubieten. Die Empfänger werden aufgefordert, auf einen Link zu klicken, der entweder zu einer legitimen Website weiterleitet, die über eine Cross-Site Scripting (XSS)-Schwachstelle kompromittiert wurde, oder zu einer gefälschten Website, die mit Tools für künstliche Intelligenz (KI) erstellt wurde. Unabhängig von der Website ist das Ziel, eine Windows Shortcut (LNK)-Datei herunterzuladen und auszuführen. Diese Datei führt dann eine Remote HTML Application (HTA) über das native Windows-Dienstprogramm `mshta.exe` aus. Die HTA-Datei zeigt ein Ablenkungsformular an, um das Opfer abzulenken, während sie eine Binärdatei abruft, die Shellcode in einen legitimen Prozess wie `runtimeBroker.exe` injiziert. "Gleichzeitig wurde in neueren Kampagnen der Einsatz eines zweistufigen Loaders verzeichnet, dessen zweite Stufe mit einem proprietären ausführbaren Dateiformat (mit voller Unterstützung für Code- und Datenabschnitte, Import von Funktionen aus dynamischen Bibliotheken und Relokation) implementiert ist, und die endgültige Payload ist zusätzlich komprimiert und verschlüsselt", so **CERT-UA**. Einer der Stager ist ein Tool namens TCP Reverse Shell oder sein Äquivalent, das als **RAVENSHELL** verfolgt wird und eine TCP-Verbindung mit einem Management-Server herstellt, um Befehle zur Ausführung auf dem Host über `cmd.exe` zu empfangen. Ebenfalls auf den infizierten Rechner heruntergeladen wird die Malware-Familie **AGINGFLY** und ein **PowerShell**-Skript namens **SILENTLOOP**. **SILENTLOOP** enthält Funktionen zur Ausführung von Befehlen, zur automatischen Aktualisierung der Konfiguration und zum Abrufen der aktuellen IP-Adresse des Management-Servers von einem **Telegram**-Kanal, mit Fallback-Mechanismen zur Ermittlung der Command-and-Control (C2)-Adresse. **AGINGFLY**, entwickelt in C#, ist für die Fernsteuerung kompromittierter Systeme konzipiert. Es kommuniziert mit einem C2-Server über WebSockets, um Befehle abzurufen, die ihm ermöglichen, Befehle auszuführen, einen Keylogger zu starten, Dateien herunterzuladen und zusätzliche Payloads auszuführen.  ### Datendiebstahl und Werkzeuge Eine Untersuchung von etwa einem Dutzend Vorfällen ergab, dass diese Angriffe Aufklärung, laterale Bewegung und den Diebstahl von Anmeldeinformationen und anderen sensiblen Daten von **WhatsApp** und Chromium-basierten Browsern erleichtern. Dies wird durch den Einsatz verschiedener Open-Source-Tools erreicht, darunter: * **ChromElevator**: Ein Programm, das entwickelt wurde, um die App-Bound Encryption (ABE)-Schutzmechanismen von Chromium zu umgehen und Cookies und gespeicherte Passwörter zu stehlen. * **ZAPiXDESK**: Ein forensisches Extraktionstool zur Entschlüsselung lokaler Datenbanken für **WhatsApp** Web. * **RustScan**: Ein Netzwerkscanner. * **Ligolo-Ng**: Ein leichtgewichtiges Dienstprogramm zur Einrichtung von Tunneln für Reverse-TCP/TLS-Verbindungen. * **Chisel**: Ein Tool zum Tunneln von Netzwerkverkehr über TCP/UDP. * **XMRig**: Ein Kryptowährungs-Miner. ### Gezielte Angriffe auf ukrainische Streitkräfte Die Behörde fand auch Hinweise darauf, dass Vertreter der Streitkräfte der Ukraine im Rahmen der Kampagne ins Visier genommen worden sein könnten. Dies basiert auf der Verteilung von bösartigen ZIP-Archiven über **Signal**, die darauf abzielen, **AGINGFLY** mittels DLL-Side-Loading-Technik einzuschleusen. ### Abhilfemaßnahmen Um das mit dieser Bedrohung verbundene Risiko zu mindern und die Angriffsfläche zu minimieren, wird empfohlen, die Ausführung von LNK-, HTA- und JS-Dateien sowie von legitimen Dienstprogrammen wie `mshta.exe`, `powershell.exe` und `wscript.exe` einzuschränken.