## Le malware AgingFly cible les hôpitaux et le gouvernement ukrainiens dans une campagne d'espionnage Des pirates informatiques ont ciblé des hôpitaux ukrainiens et des administrations locales dans le cadre d'une nouvelle campagne d'espionnage utilisant un outil malveillant baptisé **AgingFly**, selon des chercheurs. Le **CERT-UA** a rapporté que l'activité était menée par un groupe suivi sous l'appellation UAC-0247, qui a lancé plusieurs attaques au cours des deux derniers mois contre des municipalités, des hôpitaux cliniques et des services médicaux d'urgence. Les pirates ont tenté de voler des données sensibles et, dans certains cas, d'exploiter les systèmes compromis pour miner des cryptomonnaies, a indiqué le **CERT-UA**. ### Attaques par phishing et charges utiles malveillantes Les attaques commençaient généralement par des e-mails de phishing se présentant comme des discussions sur des propositions d'aide humanitaire. Les victimes étaient invitées à suivre un lien qui menait au téléchargement d'une archive malveillante. Pour rendre les messages plus convaincants, les attaquants créaient parfois des sites web pour de fausses organisations – potentiellement générés à l'aide de l'intelligence artificielle – ou intégraient des scripts malveillants dans des sites web légitimes. Une fois ouverte, l'archive installait plusieurs pièces de malware, notamment **AgingFly**, **SilentLoop**, **ChromeElevator** et **ZapixDesk**. ### Capacités d'AgingFly Le **CERT-UA** a déclaré qu'**AgingFly** permettait aux attaquants de contrôler à distance un ordinateur infecté, leur donnant la possibilité d'exécuter des commandes, de télécharger des fichiers, de capturer des captures d'écran, d'enregistrer les frappes au clavier et d'exécuter du code arbitraire. Un autre outil, **SilentLoop**, peut exécuter des commandes et récupérer l'adresse actuelle du serveur de commandement et de contrôle des attaquants via un canal **Telegram**. Les attaquants ont également tenté d'extraire des identifiants d'authentification et d'autres informations sensibles des navigateurs Internet à l'aide de **ChromeElevator**, ou des comptes **WhatsApp** à l'aide d'un outil appelé **ZapixDesk**. Dans un cas, les enquêteurs ont détecté l'utilisation de **XMRig**, un outil légitime de minage de cryptomonnaies, suggérant que les attaquants ont pu utiliser les ressources informatiques des victimes pour générer de la monnaie numérique. ### Ciblage des forces de défense Le **CERT-UA** a également averti que des membres des forces de défense de l'Ukraine pourraient être ciblés par des tactiques similaires. En mars, l'agence a reçu des rapports selon lesquels des attaquants avaient distribué ce qu'ils prétendaient être un progiciel mis à jour pour les opérateurs de drones via l'application de messagerie **Signal**. L'archive contenait en réalité un malware qui installait **AgingFly**. ### Activité d'APT28 Plus tôt cette semaine, **Reuters** a rapporté que, dans un incident distinct, des pirates informatiques liés à la Russie avaient pénétré plus de 170 comptes de messagerie appartenant à des procureurs et des enquêteurs en Ukraine, ainsi qu'à des cibles dans des pays voisins de l'**OTAN** et dans les Balkans. Des chercheurs en cybersécurité chez **Ctrl-Alt-Intel** ont attribué cette campagne au groupe connu sous le nom d'**APT28**, également appelé **Fancy Bear**, **BlueDelta** ou **Forest Blizzard**. Les chercheurs ont déclaré que les pirates avaient probablement ciblé les forces de l'ordre ukrainiennes afin de surveiller les enquêtes sur l'activité d'espionnage russe ou de recueillir des informations potentiellement sensibles sur de hauts responsables à Kyiv. [](https://www.recordedfuture.com/platform?mtm_campaign=ad-unit-record)