Специалисты по кибербезопасности фиксируют усиление атак на медицинские учреждения и органы местного самоуправления Украины. Злоумышленники скрываются за масками благотворителей и разработчиков ПО, применяя сложные схемы заражения.
Методы хакеров
В марте–апреле 2026 года команда CERT-UA выявила активность группировки UAC-0247. Основные цели — коммунальные больницы, станции скорой помощи, органы местного самоуправления и операторы FPV-дронов в Силах обороны, сообщает источник.
Атаки начинаются с писем о гуманитарной помощи. Хакеры создают фальшивые сайты или взламывают реальные. Жертвам отправляют архив с ярлыком. Его запуск запускает HTA-файл: на экране появляется приманка, а на фоне загружается malware.
Военных обманывают через Signal. Архив "BACHU" выдают за обновление ПО для FPV. Результат — установка AgingFly.
AgingFly и инструменты
AgingFly — RAT на C#. Дает хакерам удаленный доступ: выполнение команд, кража файлов, скриншоты, keylogger. Уникально: команды поступают как код, компилируется в RAM, избегая антивирусов.
Арсенал шире:
- PowerShell-скрипт SilentLoop — C2 через Telegram-каналы.
- ChromElevator — крадет пароли и куки из Chrome, Edge, Brave.
- ZapiXDesk — дешифрует базы WhatsApp.
Далее — расширение в сети: RustScan для сканирования, Ligolo-ng и Chisel для туннелей. Иногда ставят майнеры, маскируя под системные процессы.
Рекомендации защиты
CERT-UA советует блокировать LNK, HTA, JS-файлы. Ограничить mshta.exe и powershell.exe для обычных пользователей — эти инструменты часто эксплуатируют злоумышленники.
