APT黑客组织UAC-0247正在使用恶意软件AgingFly攻击乌克兰政府与医院

AGINGFLY‌ 是一个由 UAC-0247 网络攻击集群使用的远程访问木马（RAT），具备高度隐蔽性和模块化架构，主要用于对乌克兰关键基础设施（如医疗机构、地方政府、国防单位）的定向渗透与数据窃取。

该恶意软件用 ‌C# 编写‌，通过 ‌WebSocket 与 C2 服务器通信‌，并采用 ‌AES-CBC 加密‌传输数据，有效规避网络流量检测。
其最显著的技术特征是‌命令处理模块动态加载‌：核心功能（如命令执行、文件下载、截屏、键盘记录等）并不内嵌于木马本体，而是由攻击者服务器实时下发源代码并即时编译执行。
这种设计使静态分析难以识别完整能力，极大增强了对抗检测的能力。

AGINGFLY 通常通过以下路径投递：
攻击者伪装成“人道主义援助”或“FPV软件更新”（如“BACHU”）发送钓鱼邮件或 Signal 消息；
诱导用户下载含恶意 DLL 的压缩包（如 bachu.zip）；
利用 ‌DLL 侧加载‌（DLL side-loading）技术，在合法程序启动时将恶意代码注入内存，绕过杀毒软件防护。
在持久化控制方面，AGINGFLY 常与 PowerShell 脚本 ‌SILENTLOOP‌ 协同运作，后者负责执行命令、更新配置，并能从 ‌Telegram 私密频道‌获取备用 C2 地址，确保通信链路稳定。

数据窃取阶段，攻击者利用开源工具实施精准抓取：

使用 ‌ChromElevator‌（开源安全工具）解密并提取 Chromium 内核浏览器（Chrome、Edge 等）中的 cookie 和保存密码；
使用 ‌ZAPiDESK‌ 提取 Windows 版 WhatsApp 的聊天记录数据库；
这种“合法工具非法使用”的策略，体现了攻击的低成本与高隐蔽性，也被称为“开源安全工具的双刃剑效应”。

此外，AGINGFLY 攻击链还包含横向移动与资源劫持行为：

使用 ‌RustScan‌ 扫描内网拓扑；
通过 ‌Ligolo-ng‌ 或 ‌Chisel‌ 建立反向隧道穿透防火墙；
个别案例中植入 ‌XMRig 挖矿程序‌，伪装成 WireGuard 加载，实现资源长期占用。
综上，AGINGFLY 不仅是一个技术先进的恶意软件，更是 APT 级攻击中“低可见性、高持续性”战术的典型代表。


木马特征分析：AGINGFLY
1. 开发语言与功能特性
- 使用C#编写，具备远程控制能力
- 支持命令执行、文件操作、屏幕截图、键盘记录、任意代码执行

2. 通信机制
- 通过WebSocket与C2服务器通信
- 使用AES-CBC算法加密流量，但密钥为静态硬编码

3. 架构设计
- 命令处理器不内置在木马本体中
- 动态从C2服务器下载并即时编译执行命令模块
- 这种设计使传统基于文件哈希的检测方法失效

4. 防御难点
- 模块化架构导致每次感染可能具有不同功能组件
- 静态加密密钥存在历史流量解密风险
- 动态加载机制规避行为检测