【安全资讯】UAC-0247威胁集群针对乌克兰医疗机构及国防单位发动复杂网络攻击

概要：

近期，乌克兰计算机应急响应小组CERT-UA披露，一个被追踪为UAC-0247的威胁集群在2026年3月至4月期间活动加剧，其攻击目标直指乌克兰地方政府机构，特别是关键的公共卫生设施，如临床医院和急救中心。此次攻击手法复杂，结合了社会工程学与多种技术手段，对关键基础设施和国家安全构成了严重威胁。

主要内容：

攻击始于精心设计的钓鱼邮件，攻击者伪装成讨论人道主义援助事宜，诱导目标点击恶意链接。链接可能指向利用人工智能生成的虚假组织网页，或利用存在XSS漏洞的合法网站加载第三方脚本。一旦用户点击，将下载包含恶意LNK快捷方式的压缩包，触发系统处理HTA文件，进而加载远程恶意HTA文件。该文件会显示诱饵表单，并通过计划任务下载执行最终的EXE载荷。

EXE载荷采用进程注入技术，将Shellcode注入如RuntimeBroker.exe等合法进程。攻击者使用自定义的RAVENSHELL等后门建立加密的C2连接，通信采用9字节XOR密钥加密。攻击链后期会部署名为AGINGFLY的远程访问木马。该木马使用C#编写，通过WebSocket与C2通信，并采用AES-CBC加密。其独特之处在于命令处理程序并非内置，而是从C2服务器动态下载源代码并即时编译执行，增强了隐蔽性和灵活性。

攻击者还利用PowerShell脚本SILENTLOOP进行持久化、命令执行和C2地址更新，其C2地址甚至可从Telegram频道获取。在横向移动阶段，攻击者使用了RUSTSCAN等工具进行网络侦察，并利用LIGOLO-NG、CHISEL构建隐蔽隧道。此外，攻击还涉及窃取浏览器和WhatsApp凭证（使用CHROMELEVATOR和ZAPIXDESK工具），并在一个案例中发现了伪装成WireGuard合法程序的XMRig挖矿木马。

值得注意的是，攻击范围已扩展至乌克兰国防力量，攻击者通过Signal等即时通讯软件，以FPV无人机操作软件“BACHU”的更新为诱饵进行投毒。该攻击严重危害了乌克兰的医疗系统运转、地方政府行政能力及国防安全，窃取了大量敏感认证信息，并可能为后续更大规模的破坏性攻击铺平道路。