Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

UAC-0252: социальная инженерия, SHADOWSNIFF, AVANGARD и CVE-2025-8088

1
3 мин
С января 2026 года CERT-UA отслеживает волну кибератак, приписываемых группе, обозначенной как UAC-0252. Злоумышленники применяют комплексную тактику социальной инженерии, маскируясь под представителей центральных исполнительных властей и региональных администраций, чтобы вынудить жертв установить поддельные обновления мобильных приложений, используемых как в гражданском, так и в военном секторах. Атаки строятся вокруг обмана пользователей: сообщения содержат вложения, замаскированные под архивы с исполняемыми файлами, либо ссылки на легитимные веб‑ресурсы, уязвимые к Cross-Site Scripting (XSS). Взаимодействие с такими ссылками может привести к непреднамеренной загрузке вредоносных исполняемых файлов, инициируемых JavaScript-кодом на скомпрометированных страницах. Исследователи связали с инцидентами несколько примечательных образцов вредоносного ПО: Ключевой компонент атак — использование уязвимости в WinRAR, отмеченной как CVE-2025-8088. Эксплойт может быть включён в вредоносные архив
Оглавление

С января 2026 года CERT-UA отслеживает волну кибератак, приписываемых группе, обозначенной как UAC-0252. Злоумышленники применяют комплексную тактику социальной инженерии, маскируясь под представителей центральных исполнительных властей и региональных администраций, чтобы вынудить жертв установить поддельные обновления мобильных приложений, используемых как в гражданском, так и в военном секторах.

Суть инцидента

Атаки строятся вокруг обмана пользователей: сообщения содержат вложения, замаскированные под архивы с исполняемыми файлами, либо ссылки на легитимные веб‑ресурсы, уязвимые к Cross-Site Scripting (XSS). Взаимодействие с такими ссылками может привести к непреднамеренной загрузке вредоносных исполняемых файлов, инициируемых JavaScript-кодом на скомпрометированных страницах.

Методы и вектор проникновения

  • Социальная инженерия: отправка сообщений от имени органов власти с просьбой обновить приложения.
  • Маскировка вложений под архивы, содержащие исполняемые файлы.
  • Эксплуатация уязвимостей на легитимных веб‑сайтах, в частности через XSS, что позволяет триггерить загрузку вредоносного ПО.
  • Упаковка эксплойта в вредоносные архивные вложения с использованием уязвимости в WinRAR.

Выявленные вредоносные инструменты

Исследователи связали с инцидентами несколько примечательных образцов вредоносного ПО:

  • SHADOWSNIFF — разновидность кражи ПВО, нацеленная на извлечение конфиденциальной информации.
  • SALATSTEALER — ещё один stealer, предназначенный для похищения данных с компрометированных систем.
  • Программа с внутренним именем „«AVANGARD ULTIMATE v6.0.»“ — указывающая на наличие фреймворка двойного назначения: комбинации кражи данных и потенциального функционала вымогательства (шифрование файлов для вымогания выкупа).

Критическая уязвимость в библиотеке архивирования

Ключевой компонент атак — использование уязвимости в WinRAR, отмеченной как CVE-2025-8088. Эксплойт может быть включён в вредоносные архивные вложения, что значительно повышает эффективность распространения вредоносного ПО и сложность обнаружения.

Сигналы о профилировании и ресурсах злоумышленников

Углублённый анализ методологии атак показал поведение, согласующееся с активностью, наблюдаемой в Telegram-канале PalachPro. Это наводит на вывод о структурированном подходе группы UAC-0252 к киберпреступной деятельности и возможном использовании каналов обмена информации и инструментов через мессенджеры.

«группа UAC-0252 действует с структурированным подходом к киберпреступности»

Последствия и оцениваемый риск

Комбинация социальной инженерии, эксплуатации известных уязвимостей и применения инструментов для кражи и потенциального шифрования данных представляет серьёзную угрозу для государственных, гражданских и военных систем. Атаки нацелены на компрометацию конфиденциальной информации и создание предпосылок для последующего вымогательства.

Рекомендации по защите

  • Не открывайте неожиданные вложения и не выполняйте исполняемые файлы из архива, полученные по электронной почте или мессенджерам.
  • Проверяйте подлинность сообщений от государственных органов: связывайтесь по официальным каналам коммуникации.
  • Обновите и патчьте программное обеспечение, в частности WinRAR, чтобы закрыть уязвимость CVE-2025-8088.
  • Ограничьте выполнение JavaScript на критичных веб‑ресурсах и контролируйте поведение скриптов через политики содержания (CSP), где это возможно.
  • Внедрите многофакторную аутентификацию и средства обнаружения аномалий для быстрого выявления компрометаций.

Ситуация подчёркивает, что использование известных уязвимостей в сочетании с хорошо проработанными приёмами социальной инженерии остаётся эффективной тактикой атаки. CERT‑UA продолжает отслеживать инциденты и информировать о новых индикаторах компрометации по мере их обнаружения.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "UAC-0252: социальная инженерия, SHADOWSNIFF, AVANGARD и CVE-2025-8088".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.

Кибербезопасность
25,6 тыс интересуются