Шкідливе програмне забезпечення PLUGGYAPE
Команда реагування на комп'ютерні надзвичайні ситуації України (CERT-UA) виявила нову хвилю кібератак, спрямованих на структури національної оборони. Ці атаки, що спостерігалися з жовтня по грудень 2025 року, пов'язані з раніше не документованим штамом шкідливого програмного забезпечення під назвою PLUGGYAPE. Кампанія підкреслює постійну еволюцію як тактик соціальної інженерії, так і технічної складності, спрямованої проти українських цілей.
Зміст
Профіль атрибуції та чинника загрози
Цю діяльність із середньою ступенем впевненості пов'язують із пов'язаною з Росією хакерською групою, відомою як Void Blizzard, також відомою як Laundry Bear або UAC-0190. Розвідувальні оцінки вказують на те, що група веде активну діяльність щонайменше з квітня 2024 року. Їхні нещодавні операції демонструють цілеспрямований інтерес до військової та оборонної сфер.
Соціальна інженерія в основі початкового доступу
Ланцюг зараження починається не з експлойтів, а з обману. Зловмисники ініціюють контакт через широко довірені платформи обміну миттєвими повідомленнями, такі як Signal та WhatsApp. Видаючи себе за представників благодійних організацій, вони переконують жертв відкривати посилання, що ведуть на фальшиві гуманітарні веб-сайти, включаючи домени, такі як harthulp-ua.com та solidarity-help.org. Ці сайти видають себе за законні фонди та розміщують захищені паролем архіви, що містять шкідливе корисне навантаження.
Зловмисники дедалі частіше покладаються на скомпрометовані або переконливо підготовлені облікові записи, пов'язані з українськими мобільними операторами. Зв'язок здійснюється українською мовою та може включати голосові або відеодзвінки. У багатьох випадках зловмисник демонструє детальне знайомство з минулим, організацією та операційним контекстом жертви, що значно підвищує успішність соціальної інженерії.
Усередині PLUGGYAPE: Можливості та еволюція шкідливого програмного забезпечення
Завантажені архіви розгортають виконуваний файл, зібраний за допомогою PyInstaller, який встановлює бекдор PLUGGYAPE. Написане на Python, шкідливе програмне забезпечення дозволяє операторам віддалено запускати довільний код на заражених системах. З часом новіші варіанти впроваджують сильніші методи обфускації та механізми антианалізу, призначені для запобігання виконанню у віртуалізованих або дослідницьких середовищах.
PLUGGYAPE спілкується зі своїми операторами за допомогою WebSocket-з'єднань і, станом на грудень 2025 року, також підтримує протокол MQTT, що розширює його гнучкість та стійкість. Цей канал зв'язку дозволяє постійно контролювати скомпрометовані хости та полегшує швидке виконання завдань зловмисниками.
Стійкість командування та управління та оперативна безпека
Замість того, щоб вбудовувати адреси керуючих серверів безпосередньо у шкідливе програмне забезпечення, оператори отримують кінцеві точки Command-and-Control із загальнодоступних сервісів вставки, таких як rentry.co та pastebin.com. Ці адреси зберігаються у форматі base64, що дозволяє зловмисникам швидко змінювати інфраструктуру без повторного розгортання шкідливого програмного забезпечення. Такий підхід ускладнює зусилля з видалення та покращує безперервність роботи, якщо відомі сервери виявлено та порушено їх роботу.
Ширший перехід до доставки загроз через месенджери
CERT-UA наголошує, що популярні месенджери як на мобільних пристроях, так і на персональних комп’ютерах швидко стають основними каналами поширення кіберзагроз. Їхня повсюдність у поєднанні з довірою користувачів та взаємодією в режимі реального часу робить їх особливо ефективними платформами для доставки шкідливих інструментів та маніпулювання жертвами.
