文章总结： 文档披露UAC-0247威胁组织针对医院和政府机构的定向网络攻击，利用钓鱼邮件和漏洞攻击传播恶意载荷，采用多层加载器部署加密反向ShellRAVENSHELL和远程控制工具AGINGFLY，窃取浏览器和WhatsApp数据并进行横向移动。CERT-UA建议限制LNK、HTA文件执行和脚本工具使用以降低风险。 综合评分： 84 文章分类： 威胁情报,恶意软件,漏洞分析,应急响应,安全建设

UAC-0247 漏洞利用浏览器和 WhatsApp 数据窃取攻击医院和政府机构

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年4月17日 12:11 北京

在小说阅读器读本章

去阅读

检测到针对地方政府和市政医疗机构（特别是临床医院和救护医院）的定向网络攻击激增。

此次攻击活动被归咎于威胁集群 UAC-0247，该集群以先进的数据窃取、持久性和横向移动方法而闻名。

攻击链始于精心设计的钓鱼邮件，这些邮件看似在讨论人道主义援助方案。这些邮件通常包含指向恶意网站的链接。

在某些情况下，威胁行为者会利用人工智能创建整个虚假的非营利网站；而在另一些情况下，他们会利用跨站脚本攻击 (XSS) 等漏洞攻击合法但易受攻击的网站，从而托管恶意载荷。

乌克兰国家计算机应急响应小组 (CERT-UA) 发出警告，2026 年 3 月至 4 月期间，有针对性的网络攻击将激增。

当受害者点击链接时，会下载一个包含快捷方式（.LNK）文件的压缩包。打开此文件会触发 mshta.exe 实用程序，该程序会执行 HTA 脚本。

该脚本检索并执行远程内容，显示诱饵表单以分散用户注意力，同时通过计划任务静默部署可执行 (.EXE) 有效载荷。

加密反向外壳

近期发生的事件表明，攻击者使用了复杂的两阶段加载器。第二阶段采用了一种专有的可执行文件格式，支持自定义代码段、动态导入和重定位功能。

最终的有效载荷经过高度压缩和加密，释放出一个 名为 RAVENSHELL 的TCP 反向 shell 。

该阶段程序会连接回攻击者的命令服务器，使用 9 字节 XOR 密钥加密其流量，并在通过 CMD 执行进一步命令之前发送初始的“已连接！”消息。

一旦站稳脚跟，恶意软件就会部署 AGINGFLY，这是一个基于 C# 的远程管理工具，旨在完全控制受感染的主机。

它能够通过加密的 WebSocket 通信执行命令、文件传输、屏幕截图、键盘记录和任意代码执行。

AGINGFLY 的一个显著特点是其动态命令系统处理程序是从命令服务器下载的源代码，并在运行时编译。

CERT-UA 还发现使用了名为 SILENTLOOP 的 PowerShell 脚本，该脚本通过 Telegram 频道管理持续的 C2 通信，并自动更新配置参数。

即使攻击者的主要基础设施遭到破坏，这种机制也能让他们保持连接。

窃取浏览器和 WhatsApp 数据

为了窃取数据，攻击者使用了两个专门的工具：CHROMELEVATOR 用于提取存储的浏览器凭据和 cookie，ZAPIXDESK 用于从桌面应用程序中提取 WhatsApp 数据。

对多个受影响系统的分析显示，攻击者使用自定义子网扫描器和 RUSTSCAN 等公共工具进行额外的侦察和横向移动，并通过 LIGOLO-NG 和 CHISEL 进行隧道传输。

在其中一个案例中，调查人员发现 XMRIG 加密货币挖矿程序以 DLL 的形式运行，并通过 WIREGUARD VPN 客户端的补丁版本悄悄加载。

CERT-UA 建议各组织限制 LNK、HTA 和 JS 文件的执行，并限制使用 mshta.exe、powershell.exe 和 wscript.exe 等脚本和管理实用程序。

实施这些控制措施可以显著降低与 UAC-0247 集群相关的不断演变的活动所带来的风险，该集群是一个持续存在的威胁，目前正在积极针对乌克兰各地的医疗保健和政府基础设施。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《UAC-0247 漏洞利用浏览器和 WhatsApp 数据窃取攻击医院和政府机构》