MalwareHackerangriffeDatenschutz

Ukrainische Hacker-Gruppe UAC-0247 zielt auf Kliniken und Behörden mit Datendieb-Malware ab

Ukrainische Hacker-Gruppe UAC-0247 zielt auf Kliniken und Behörden mit Datendieb-Malware ab
Zusammenfassung

Die ukrainische Computersicherheitsbehörde CERT-UA hat eine neue Malware-Kampagne der Hackergruppe UAC-0247 öffentlich gemacht, die zwischen März und April 2026 gezielt ukrainische Regierungsinstitutionen und Kliniken angegriffen hat. Die Angreifer nutzten raffinierte Phishing-E-Mails, die als humanitäre Hilfsangebote getarnt waren, um Opfer zum Anklicken schädlicher Links zu bewegen. Diese führten zur Installation mehrschichtiger Malware-Systeme, die sensible Daten aus Webbrowsern und der Messaging-App WhatsApp stehlen sollen. Das besonders problematische an dieser Kampagne ist die Verwendung mehrerer Infektionsstufen mit proprietären Dateiformaten sowie spezialisierte Tools wie AGINGFLY und RAVENSHELL, die umfangreiche Fernzugriffe auf befallene Systeme ermöglichen. Obwohl die Kampagne primär ukrainische Ziele ins Visier nahm, ist eine Ausweitung auf andere Länder, einschließlich Deutschland, durchaus denkbar. Deutsche Unternehmen und Behörden sollten daher ihre Sicherheitsvorkehrungen überprüfen und die empfohlenen Schutzmaßnahmen implementieren, insbesondere die Einschränkung der Ausführung verdächtiger Dateitypen und die Deaktivierung gefährlicher Windows-Utilities.

Die von CERT-UA dokumentierte Kampagne der Hackergruppe UAC-0247 offenbart ein durchdachtes Angriffsschema, das mehrere Stufen umfasst. Alles beginnt mit einer scheinbar harmlosen E-Mail, die sich als Vorschlag für ein Hilfsprogramm ausgibt. Der Empfänger wird aufgefordert, auf einen Link zu klicken, der entweder auf eine gehackte legitime Website oder auf eine mit KI-Tools erstellte Fake-Seite führt.

Hat der Nutzer auf den Link geklickt, wird eine Windows-Shortcut-Datei (LNK) heruntergeladen und ausgeführt. Diese aktiviert die native Windows-Anwendung “mshta.exe”, die wiederum eine HTML Application (HTA) startet. Das System zeigt dem Opfer währenddessen ein täuschendes Formular an, während im Hintergrund Schadcode in legitime Windows-Prozesse wie “runtimeBroker.exe” eingespritzt wird.

Besonders bemerkenswert ist die Verwendung eines zweistufigen Loaders mit einem proprietären Executable-Format. Die finale Malware ist zusätzlich komprimiert und verschlüsselt, was die Erkennung durch Antivirus-Software erheblich erschwert. Ein Werkzeug namens RAVENSHELL etabliert eine TCP-Verbindung zum Kommando- und Kontrollserver (C2) und ermöglicht es den Angreifern, beliebige Befehle auszuführen.

Zum Einsatz kommt auch die in C# programmierte Malware AGINGFLY, die Fernzugriff auf infizierte Systeme ermöglicht. Sie kommuniziert über WebSockets mit dem C2-Server und kann Tastatureingaben protokollieren, Dateien herunterladen und weitere Schadprogramme ausführen. Ein PowerShell-Skript namens SILENTLOOP sorgt dafür, dass die Malware automatisch aktualisiert wird und neue Befehle von einem Telegram-Kanal abruft.

Nach der Analyse von etwa zwölf bekannten Vorfällen zeigt sich ein klares Muster: Die Angreifer nutzen die Kompromittierung für Aufklärung, Bewegungsmeldungen innerhalb von Netzwerken und zum Diebstahl von Anmeldedaten sowie persönlichen Informationen aus WhatsApp und Chrome-basierten Browsern. Besonders alarmierend: Es gibt Hinweise darauf, dass auch Vertreter der ukrainischen Streitkräfte ins Visier genommen wurden, wobei Malware über Signal-Nachrichten in Form manipulierter ZIP-Archive verteilt wurde.

Zum Schutz empfiehlt CERT-UA, die Ausführung von LNK-, HTA- und JavaScript-Dateien zu blockieren sowie Sicherheitseinschränkungen für Programme wie “mshta.exe”, “powershell.exe” und “wscript.exe” einzuführen. Diese Maßnahmen könnten auch deutschen Behörden und Unternehmen als Best Practice dienen.

Ähnliche Artikel