Вредоносное ПО PLUGGYAPE
Украинская группа реагирования на компьютерные чрезвычайные ситуации (CERT-UA) выявила новую волну кибератак, направленных против оборонных структур страны. Эти атаки, зафиксированные в период с октября по декабрь 2025 года, связаны с ранее не описанным типом вредоносного ПО под названием PLUGGYAPE. Кампания демонстрирует продолжающуюся эволюцию как методов социальной инженерии, так и технической сложности, направленных против украинских целей.
Оглавление
Атрибуция и профиль субъекта угрозы
Данная деятельность с умеренной степенью достоверности связана с хакерской группой Void Blizzard, также известной как Laundry Bear или UAC-0190, имеющей связи с Россией. По данным разведки, группа действует как минимум с апреля 2024 года. Их последние операции демонстрируют целенаправленный интерес к военной и оборонной сфере.
Социальная инженерия лежит в основе первоначального доступа.
Цепочка заражения начинается не с эксплойтов, а с обмана. Злоумышленники инициируют контакт через широко известные платформы мгновенного обмена сообщениями, такие как Signal и WhatsApp. Выдавая себя за представителей благотворительных организаций, они убеждают жертв открыть ссылки, ведущие на поддельные гуманитарные веб-сайты, включая домены типа harthulp-ua.com и solidarity-help.org. Эти сайты выдают себя за легитимные фонды и размещают защищенные паролем архивы, содержащие вредоносную программу.
Злоумышленники все чаще используют скомпрометированные или убедительно подготовленные учетные записи, связанные с украинскими мобильными операторами. Общение ведется на украинском языке и может включать голосовые или видеозвонки. Во многих случаях противник демонстрирует детальное знание биографии жертвы, ее организации и оперативного контекста, что значительно повышает успех попыток социальной инженерии.
Внутри PLUGGYAPE: возможности и эволюция вредоносного ПО.
Загруженные архивы содержат исполняемый файл, созданный с помощью PyInstaller, который устанавливает бэкдор PLUGGYAPE. Написанное на Python, это вредоносное ПО позволяет операторам удаленно запускать произвольный код на зараженных системах. Со временем в более новых вариантах были внедрены более совершенные методы обфускации и механизмы защиты от анализа, предназначенные для предотвращения выполнения в виртуализированных или исследовательских средах.
PLUGGYAPE взаимодействует со своими операторами с помощью соединений WebSocket, а с декабря 2025 года также поддерживает протокол MQTT, что расширяет его гибкость и отказоустойчивость. Этот канал связи позволяет осуществлять постоянный контроль над скомпрометированными хостами и облегчает быстрое выполнение задач злоумышленниками.
Устойчивость системы управления и контроля и оперативная безопасность
Вместо того чтобы встраивать адреса серверов управления непосредственно в вредоносное ПО, операторы получают адреса командно-контрольных точек из общедоступных сервисов, таких как rentry.co и pastebin.com. Эти адреса хранятся в закодированном в base64 виде, что позволяет злоумышленникам быстро менять инфраструктуру без повторного развертывания вредоносного ПО. Такой подход усложняет операции по удалению и повышает операционную непрерывность в случае обнаружения и нарушения работы известных серверов.
Более широкий сдвиг в сторону доставки угроз через мессенджеры.
CERT-UA подчеркивает, что популярные мессенджеры на мобильных устройствах и персональных компьютерах быстро становятся основными каналами распространения киберугроз. Их повсеместное распространение в сочетании с доверием пользователей и взаимодействием в режиме реального времени делают их особенно эффективными платформами для доставки вредоносных инструментов и манипулирования жертвами.
