Зловреден софтуер PLUGGYAPE
Украинският екип за реагиране при компютърни аварии (CERT-UA) разкри нова вълна от кибероперации, насочени срещу структури на националната отбрана. Тези атаки, наблюдавани между октомври и декември 2025 г., включват недокументиран досега щам на зловреден софтуер, наречен PLUGGYAPE. Кампанията подчертава продължаващата еволюция както в тактиките на социалното инженерство, така и в техническата сложност, насочена срещу украински цели.
Съдържание
Профил на атрибуцията и заплахата
Дейността е свързана, със средна степен на сигурност, с руско-ориентирана хакерска група, известна като Void Blizzard, наричана още Laundry Bear или UAC-0190. Оценките на разузнаването показват, че групата е активна поне от април 2024 г. Последните им операции показват фокусиран интерес към военна и отбранителна среда.
Социалното инженерство в основата на първоначалния достъп
Веригата на заразяване започва не с експлойти, а с измама. Злонамерените лица инициират контакт чрез широко доверени платформи за незабавни съобщения като Signal и WhatsApp. Представяйки се за представители на благотворителни организации, те убеждават жертвите да отворят връзки, водещи към фалшиви хуманитарни уебсайтове, включително домейни като harthulp-ua.com и solidarity-help.org. Тези сайтове се представят за легитимни фондации и хостват защитени с парола архиви, които съдържат злонамерен полезен товар.
Нападателите все по-често разчитат на компрометирани или убедително подготвени акаунти, свързани с украински мобилни оператори. Комуникациите се провеждат на украински език и могат да включват гласови или видео разговори. В много случаи противникът демонстрира подробно познаване на миналото, организацията и оперативния контекст на жертвата, което значително увеличава успеха на усилията за социално инженерство.
Вътре в PLUGGYAPE: Възможности и еволюция на зловреден софтуер
Изтеглените архиви разгръщат изпълним файл, изграден с PyInstaller, който инсталира задната вратичка PLUGGYAPE. Написан на Python, зловредният софтуер позволява на операторите дистанционно да изпълняват произволен код на заразени системи. С течение на времето по-новите варианти са включили по-силни техники за обфускация и механизми за анти-анализ, предназначени да предотвратят изпълнението във виртуализирани или изследователски среди.
PLUGGYAPE комуникира със своите оператори, използвайки WebSocket връзки, а от декември 2025 г. поддържа и MQTT протокола, разширявайки неговата гъвкавост и устойчивост. Този комуникационен канал позволява постоянен контрол върху компрометираните хостове и улеснява бързото изпълнение на задачи от страна на нападателите.
Устойчивост на командването и контрола и оперативна сигурност
Вместо да вграждат адреси на контролни сървъри директно в зловредния софтуер, операторите извличат крайни точки за командване и контрол от публични услуги за поставяне, като rentry.co и pastebin.com. Тези адреси се съхраняват в base64-кодирана форма, което позволява на атакуващите бързо да променят инфраструктурата, без да преразполагат зловредния софтуер. Този подход усложнява усилията за премахване и подобрява оперативната непрекъснатост, ако известни сървъри бъдат открити и прекъснати.
По-широка промяна към доставка на заплахи чрез месинджъри
CERT-UA подчертава, че популярните приложения за съобщения както на мобилни устройства, така и на персонални компютри, бързо се превръщат в основни канали за разпространение на киберзаплахи. Тяхното повсеместно разпространение, съчетано с доверието на потребителите и взаимодействието в реално време, ги прави особено ефективни платформи за предоставяне на злонамерени инструменти и манипулиране на жертвите.
