Visão geral da campanha UAC-0247
Um cluster de ameaças rastreado como UAC-0247 tem executado uma campanha ativa desde o início de 2026, mirando governos locais e instituições de saúde municipal em toda a Ucrânia, incluindo hospitais clínicos e serviços de ambulância de emergência. Os atacantes não estão apenas roubando dados sensíveis de navegadores de internet e WhatsApp, mas também se movendo silenciosamente através de redes comprometidas para expandir seu alcance.
A campanha começa com um e-mail simples, mas enganoso. O atacante entra em contato com o alvo sob o pretexto de uma discussão sobre ajuda humanitária, pedindo que o destinatário clique em um link. Para tornar o e-mail convincente, o atacante constrói um site falso usando ferramentas de inteligência artificial ou redireciona a vítima para um site legítimo de terceiros que possui uma vulnerabilidade de Cross-Site Scripting (XSS).
Análise técnica do malware AGINGFLY
A ferramenta de acesso remoto principal utilizada nesta campanha é o AGINGFLY, escrito na linguagem de programação C#. Ele fornece ao atacante um conjunto completo de capacidades de controle remoto, incluindo execução de comandos, download de arquivos, captura de tela, ativação de keylogger e execução de código na memória.
O que torna o AGINGFLY distinto de ferramentas semelhantes é que seus manipuladores de comando não estão embutidos no próprio malware. Em vez disso, eles são baixados do servidor de comando e controle (C2) como código-fonte e compilados sob demanda dentro do sistema infectado. A comunicação com o servidor C2 ocorre por meio de web sockets, e todo o tráfego é criptografado usando o algoritmo AES-CBC com uma chave estática.
Para manter um ponto de apoio persistente, a campanha também usa um script PowerShell chamado SILENTLOOP, que executa automaticamente comandos, atualiza sua configuração e recupera o endereço IP do servidor C2 mais recente de um canal do Telegram. Se a fonte principal do Telegram falhar, o SILENTLOOP também suporta mecanismos de backup para encontrar o endereço C2.
Ferramentas de roubo e reconhecimento
Dentre todas as ferramentas implantadas nesta campanha, o estudo de uma dúzia de incidentes cibernéticos revelou um padrão consistente de roubo de dados e reconhecimento de rede. Os atacantes usaram o CHROMELEVATOR para extrair dados de autenticação e outras credenciais armazenadas de navegadores de internet, enquanto uma ferramenta separada chamada ZAPIXDESK foi usada especificamente para roubar dados do aplicativo de mensagens WhatsApp.
Ao lado das ferramentas de roubo, os atacantes usaram scanners de sub-rede básicos e a ferramenta de código aberto RUSTSCAN para mapear redes internas. Em alguns casos, as ferramentas LIGOLO-NG e CHISEL foram implantadas para construir túneis de rede ocultos, e um incidente revelou até mesmo o uso do minerador XMRIG, embalado como um DLL e carregado através de uma versão corrigida do programa legítimo WIREGUARD.
Alvos e implicações para o setor de saúde
A campanha UAC-0247 tem como alvo específico instituições de saúde e governos locais, o que representa um risco direto à continuidade operacional de serviços essenciais. O roubo de dados de WhatsApp e navegadores pode expor comunicações sensíveis entre profissionais de saúde e pacientes, violando a confidencialidade e a privacidade dos dados.
Além disso, o acesso à rede interna permite que os atacantes se movam lateralmente, potencialmente comprometendo sistemas críticos de gerenciamento de pacientes e registros médicos. A exfiltração de dados de saúde é particularmente sensível devido às regulamentações de proteção de dados e à natureza crítica das informações envolvidas.
Medidas de mitigação recomendadas
Os analistas do CERT-UA recomendam que as organizações reduzam sua exposição restringindo a execução de arquivos LNK, HTA e JS em sistemas de endpoint. Os administradores também devem limitar o uso de utilitários legítimos como mshta.exe, powershell.exe e wscript.exe, que esta campanha abusa ativamente.
Essas restrições alinham-se com as práticas padrão de redução da superfície de ataque incorporadas ao sistema operacional e não requerem ferramentas de terceiros para implementação. Além disso, é crucial monitorar o tráfego de rede para detectar conexões incomuns a servidores C2 e revisar as permissões de execução de scripts em ambientes corporativos.
Conclusão
A campanha UAC-0247 demonstra a sofisticação crescente de grupos de ameaças que visam infraestrutura crítica. A implementação de controles de segurança robustos, incluindo a restrição de execução de scripts e o monitoramento de comportamento de rede, é essencial para mitigar esses riscos.