Ukrajinske vladine agencije postale su meta sofisticirane kampanje cyber napada koju je izvela grupa UAC-0001, poznata i kao APT28. Meta ovih napada bili su industrijski kontrolni sistemi (ICS) koji koriste operativne sisteme Windows kao servere. Ovi napadi, koji su se odvijali tokom marta i aprila 2024. godine, predstavljaju značajnu eskalaciju u taktici kibernetičkog ratovanja koju sponzorišu države, demonstrirajući napredne tehnike prodiranja u sisteme kritične infrastrukture.
Kampanja je specifično ciljala informacioni komunikacioni sistem centralnog izvršnog tijela. U tom procesu, napadači su uspješno koristili dva primarna zlonamjerna softvera: BEARDSHELL i SLIMAGENT. Ovi sofisticirani softverski alati bili su dizajnirani da obezbijede trajni pristup i provedu opsežne operacije nadzora unutar kompromitovanih mreža. Metodologija napada je uključivala višestepeni pristup, koji je započeo taktikama socijalnog inženjeringa putem platforme za razmjenu poruka Signal, a kulminirao je implementacijom naprednih backdoor mogućnosti.
Analitičari CERT-UA su identifikovali tehničke uređaje tokom svoje istrage odgovora na incident. Utvrđeno je da su kompromitovani sistemi aktivno služili kao infrastruktura za komandovanje i kontrolu (C2) za aktere prijetnji. Istraživači su primijetili da je početna metoda kompromitovanja uključivala neidentifikovanu osobu koja je slala dokument pod nazivom „Act.doc“ putem Signala. Ovaj dokument je sadržavao zlonamjerne makronaredbe koje su se izvršavale nakon interakcije korisnika. Ovakav način isporuke se pokazao izuzetno efikasnim jer je zaobišao tradicionalne sigurnosne mjere elektronske pošte i iskoristio povjerenje povezano sa Signal komunikacijama.
Opseg napada proširio se i izvan prvobitnog vremenskog okvira marta i aprila 2024. godine. Operativne obavještajne informacije primljene u maju 2025. ukazuju na neovlašteni pristup nalozima elektronske pošte unutar domenske zone gov.ua. Ovo otkriće sugerira dugotrajnu kampanju sa višestrukim fazama infiltracije i aktivnostima izvoza podataka. Napadači su pokazali detaljno poznavanje svojih ciljeva, posjedujući specifične informacije o stanju stvari unutar relevantnih vladinih odjeljenja.
Mehanizam infekcije i taktike perzistencije koje koristi grupa UAC-0001 demonstriraju izvanrednu sofisticiranost u svom višeslojnom pristupu kompromitovanju sistema i postizanju perzistencije. Nakon aktivacije zlonamjernog dokumenta „Act.doc“, ugrađeni kod makronaredbi izvršava pažljivo orkestriran niz operacija kreiranja datoteka i manipulacije registrima. Makronaredbe kreiraju dva ključna fajla: `APPDATA\microsoft\protect\ctec.dll` i `LOCALAPPDATA\windows.png`, istovremeno uspostavljajući COM-hijacking registar ključ na `HKCU\Software\Classes\CLSID\{2227A280-3AEA-1069-A2DE-08002B30309D}\InProcServer32`.
Fajl `ctec.dll` služi kao primarni mehanizam za dekripciju, odgovoran za obradu i izvršavanje shellcode-a pohranjenog unutar naizgled bezazlenog fajla `windows.png`. Ovaj shellcode zatim pokreće komponentu COVENANT framework-a (ksmqsyck.dx4.exe) direktno u sistemsku memoriju, uspostavljajući komunikaciju sa komandnim i kontrolnim serverima putem API-ja usluge Koofr. Izbor legitimnih usluga za skladištenje u oblaku kao komunikacijskih kanala demonstrira posvećenost napadača izbjegavanju mehanizama mrežne detekcije.
Mehanizam perzistencije se snažno oslanja na COM-hijacking tehnike, kreirajući dodatne registar unose kako bi se osigurao kontinuirani pristup čak i nakon ponovnog pokretanja sistema. Zlonamjerni softver uspostavlja sekundarnu metodu perzistencije kroz registar ključ `HKEY_CURRENT_USER\Software\Classes\CLSID\{2DEA658F-54C1-4227-AF9B-260AB5FC3543}\InProcServer32`, koji pokreće izvršavanje `PlaySndSrv.dll` putem legitimnog Windows zakazanog zadatka `Microsoft\Windows\Multimedia\SystemSoundsService`. Ova tehnika predstavlja primjer sofisticiranog razumijevanja unutrašnjih procesa Windows sistema od strane aktera prijetnji i njihove sposobnosti da zloupotrebljavaju legitimne sistemske funkcije u zlonamjerne svrhe.