En ny AgingFly-malwarekampanj riktar sig mot myndigheter och sjukhus i Ukraina. Operationen fokuserar på att stjäla autentiseringsdata och etablera ihållande åtkomst, vilket belyser pågående cyberhot mot kritisk infrastruktur.
Phishingmejl initierar attacken
Kampanjen börjar med phishingmejl som utger sig för att vara humanitär eller officiell kommunikation. Dessa meddelanden uppmanar offren att öppna länkar eller ladda ner filer.
När offret interagerar får det ett arkiv som innehåller en genvägsfil. Denna fil startar infektionskedjan samtidigt som den framstår som harmlös.
I vissa fall omdirigeras offren via komprometterade eller angriparkontrollerade webbplatser innan nyttolasten levereras.
Flerstegsutförande undviker upptäckt
AgingFly-malwaren använder en flerstegsinfektion som är utformad för att förbli dold. Efter att den körs hämtar systemet ytterligare komponenter från fjärrservrar.
Attacken använder skript och inbyggda Windows-verktyg för att utföra åtgärder. Den skapar också schemalagda uppgifter för att upprätthålla ihållande åtkomst.
Varje steg förbereder systemet för den slutliga nyttolasten samtidigt som risken för tidig upptäckt minskar.
Datastöld riktar sig mot webbläsare och meddelandeappar
AgingFly-malwaren fokuserar på att samla in känslig användardata. Den extraherar inloggningsuppgifter, cookies och sessionsinformation från Chromium-baserade webbläsare.
Den riktar sig även mot meddelandedata från skrivbordsapplikationer som WhatsApp. Detta utökar attackens omfattning bortom traditionell stöld av inloggningsuppgifter.
Den insamlade datan kan användas för att kapa konton eller ta sig vidare in i nätverk.
Fjärråtkomst möjliggör djupare intrång
Malwaren ger angripare kontroll över infekterade system. Den möjliggör körning av kommandon, dataexfiltration och systemövervakning.
Den kommunicerar med fjärrservrar via krypterade kanaler och kan stödja lateral rörelse inom nätverk. Detta gör det möjligt för angripare att utöka sin åtkomst efter intrång.
Ytterligare verktyg kan användas för att stödja kartläggning och ihållande närvaro.
Kodkörning i realtid ökar flexibiliteten
En framträdande funktion hos AgingFly-malwaren är dess förmåga att köra kod dynamiskt. Istället för att enbart förlita sig på förladdade instruktioner hämtar den kod från fjärrservrar.
Denna kod körs sedan på det infekterade systemet, vilket gör det möjligt för angripare att anpassa sina åtgärder i realtid.
Denna metod gör upptäckt svårare och ökar attackens effektivitet.
Riktad kampanj väcker oro
AgingFly-malwarekampanjen har kopplats till aktivitet som riktar sig mot ukrainska myndigheter och vårdorganisationer. Dessa sektorer hanterar känslig data och är ofta kritiska för nationella funktioner.
Riktade attacker som denna visar hur cyberoperationer fortsätter att spela en roll i geopolitiska konflikter.
Organisationer inom dessa sektorer måste vara uppmärksamma på phishing och avancerade intrångstekniker.
Slutsats
AgingFly-malwarekampanjen visar hur moderna hot kombinerar phishing, dold körning och datastöld. Dess flerstegsdesign och anpassningsförmåga gör den till en allvarlig risk för utsatta organisationer.
Fallet understryker behovet av stark e-postsäkerhet, systemövervakning och snabb respons för att begränsa effekterna av avancerade malwareattacker.
0 svar till ”AgingFly-malware riktar sig mot Ukrainas regering och sjukhus”