Українські лікарні та операторів дронів атакують за допомогою нового віруса AgingFly

Які методи використовують хакери?

Протягом березня та квітня 2026 року команда реагування на комп'ютерні надзвичайні події України CERT-UA зафіксувала активізацію кіберугруповання, що отримало ідентифікатор UAC-0247. Головними цілями зловмисників стали комунальні заклади охорони здоров'я, зокрема клінічні лікарні та станції екстреної медичної допомоги, а також органи місцевого самоврядування. Окрім цивільного сектору, під загрозою опинилися представники Сил оборони України, зокрема оператори безпілотних літальних апаратів FPV, пише Bleeping Computer.

Дивіться також Китай вбудував небезпечний вірус у 50 застосунків, щоб роками шпигувати за мільйонами людей 

Схема атаки починається з електронних листів, у яких пропонують обговорити надання гуманітарної допомоги. Для більшої переконливості хакери створюють фальшиві вебсторінки організацій за допомогою штучного інтелекту або зламують легітимні ресурси через вразливості. Жертві пропонують завантажити архів, у якому міститься файл-ярлик. Його запуск активує складний ланцюг дій: спочатку виконується HTA-файл, який виводить на екран форму-приманку для відвернення уваги, а у фоновому режимі завантажується основний шкідливий файл.

Військових атакують через месенджер Signal, розповсюджуючи архів під виглядом оновлення програми для операторів FPV під назвою "BACHU". Після запуску такого файлу на комп'ютер непомітно встановлюється основний інструмент шпигунства – програма AgingFly.

Що таке AgingFly?

AgingFly – це спеціалізоване програмне забезпечення на мові C#, яке надає хакерам повний дистанційний доступ до комп'ютера. Воно дозволяє виконувати довільні команди, викрадати файли, робити знімки екрана та фіксувати натискання клавіш на клавіатурі. 

Унікальною особливістю цього вірусу є те, що він не має вбудованих функцій для обробки команд. Замість цього він отримує їх із сервера управління у вигляді коду і компілює безпосередньо в оперативній пам'яті комп'ютера під час роботи. Така тактика дозволяє шкідливому коду залишатися непоміченим для багатьох антивірусних систем і швидко змінювати свій функціонал.

Окрім AgingFly, хакери використовують цілий арсенал додаткових інструментів:

• Серед них – PowerShell-скрипт SilentLoop, який отримує адресу сервера управління через канали в Telegram.
• Для викрадення паролів та файлів "cookies" із браузерів Google Chrome, Edge чи Brave використовується утиліта ChromElevator.
• Месенджер WhatsApp також перебуває під загрозою: програма ZapiXDesk дозволяє зловмисникам дешифрувати бази даних повідомлень.

Після успішного проникнення хакери намагаються розширити свій вплив у локальній мережі установи. Вони використовують сканери підмереж, такі як RustScan, та створюють приховані тунелі для передачі даних за допомогою засобів Ligolo-ng та Chisel. В окремих випадках на зламаних комп'ютерах навіть встановлювали майнери криптовалют, замасковані під легітимні системні додатки.

Що можна зробити?

Для захисту від подібних загроз фахівці CERT-UA рекомендують обмежити можливість запуску файлів із розширеннями LNK, HTA та JS, а також заблокувати роботу штатних утиліт mshta.exe та powershell.exe для звичайних користувачів, оскільки вони найчастіше стають інструментами в руках кіберзлочинців.