Украинские больницы и операторов дронов атакуют с помощью нового вируса AgingFly

Кибератаки на украинские больницы и операторов FPV –какие методы работы хакеров

Хакерская атака на украинский госсектор и больницы: что известно о вредоносном ПО AgingFly / Коллаж 24 Канала/Unsplash

Последние отчеты специалистов по кибербезопасности указывают на усиление атак против украинских медицинских учреждений и органов самоуправления. Злоумышленники применяют многоступенчатые схемы заражения, маскируясь под благотворительные организации и разработчиков специализированного программного обеспечения.

Какие методы используют хакеры?

В течение марта и апреля 2026 года команда реагирования на компьютерные чрезвычайные события Украины CERT-UA зафиксировала активизацию кибергруппировки,, получившей идентификатор UAC-0247. Главными целями злоумышленников стали коммунальные учреждения здравоохранения, в частности клинические больницы и станции экстренной медицинской помощи, а также органы местного самоуправления. Кроме гражданского сектора, под угрозой оказались представители Сил обороны Украины, в частности операторы беспилотных летательных аппаратов FPV, пишет Bleeping Computer.

Схема атаки начинается с электронных писем, в которых предлагают обсудить предоставление гуманитарной помощи. Для большей убедительности хакеры создают фальшивые вебстраницы организаций с помощью искусственного интеллекта или взламывают легитимные ресурсы из-за уязвимостей. Жертве предлагают скачать архив, в котором содержится файл-ярлык. Его запуск активирует сложную цепь действий: сначала выполняется HTA-файл, который выводит на экран форму-приманку для отвлечения внимания, а в фоновом режиме загружается основной вредоносный файл.

Военных атакуют через мессенджер Signal, распространяя архив под видом обновления программы для операторов FPV под названием "BACHU". После запуска такого файла на компьютер незаметно устанавливается основной инструмент шпионажа – программа AgingFly.

Что такое AgingFly?

AgingFly – это специализированное программное обеспечение на языке C#, которое предоставляет хакерам полный дистанционный доступ к компьютеру. Оно позволяет выполнять произвольные команды, похищать файлы, делать снимки экрана и фиксировать нажатия клавиш на клавиатуре.

Уникальной особенностью этого вируса является то, что он не имеет встроенных функций для обработки команд. Вместо этого он получает их с сервера управления в виде кода и компилирует непосредственно в оперативной памяти компьютера во время работы. Такая тактика позволяет вредоносному коду оставаться незамеченным для многих антивирусных систем и быстро менять свой функционал.

Кроме AgingFly, хакеры используют целый арсенал дополнительных инструментов:

Среди них – PowerShell-скрипт SilentLoop, который получает адрес сервера управления через каналы в Telegram.
Для похищения паролей и файлов "cookies" из браузеров Google Chrome, Edge или Brave используется утилита ChromElevator.
Мессенджер WhatsApp также находится под угрозой: программа ZapiXDesk позволяет злоумышленникам дешифровать базы данных сообщений.

После успешного проникновения хакеры пытаются расширить свое влияние в локальной сети учреждения. Они используют сканеры подсетей, такие как RustScan, и создают скрытые туннели для передачи данных с помощью средств Ligolo-ng и Chisel. В отдельных случаях на взломанных компьютерах даже устанавливали майнеры криптовалют, замаскированные под легитимные системные приложения.

Что можно сделать?

Для защиты от подобных угроз специалисты CERT-UA рекомендуют ограничить возможность запуска файлов с расширениями LNK, HTA и JS, а также заблокировать работу штатных утилит mshta.exe и powershell.exe для обычных пользователей, поскольку они чаще всего становятся инструментами в руках киберпреступников.