Оферта за отстъпка за множество лицензи
База данни за заплахи Инструменти за отдалечено администриране AGEWHEEZE ПЛЪХ

AGEWHEEZE ПЛЪХ

До Mezo през Инструменти за отдалечено администриране, Усъвършенствана постоянна заплаха (APT)г
Превод на:

Анализатори по киберсигурност разкриха целенасочена фишинг операция, при която злонамерени лица се представяха за Екипа за реагиране при компютърни аварии на Украйна, за да разпространяват инструмент за дистанционно администриране, известен като AGEWHEEZE. Кампанията, приписвана на групата UAC-0255, разчиташе на подвеждащи имейли, изпратени на 26 и 27 март 2026 г., призоваващи получателите да инсталират това, което е описано като „специализиран софтуер“.

Тези имейли съдържаха връзки към защитен с парола ZIP архив, хостван на Files.fm. Архивът, наречен CERT_UA_protection_tool.zip, беше представен като легитимна програма за сигурност, но вместо това доставяше злонамерени полезни файлове. Някои съобщения произхождаха от фалшивия адрес „incidents@cert-ua.tech“, което допълнително засилваше илюзията за автентичност.

Профил на целта и обхват на атаката

Операцията хвърли широк обхват, насочен към разнообразни организации, критични за националната инфраструктура и обществените услуги. Те включват:

  • Правителствени и държавни институции
  • Медицински и здравни заведения
  • Компании, свързани със сигурността и отбраната
  • Образователни организации
  • Финансови институции
  • Фирми за разработка на софтуер

Въпреки широкообхватната стратегия за насочване, общата ефективност на кампанията изглежда ограничена. Потвърдени са само малък брой инфекции, засягащи предимно личните устройства на служителите в образователните институции.

Вътре в AGEWHEEZE: Възможности и механизми за устойчивост

AGEWHEEZE е троянски кон, базиран на Go, за отдалечен достъп, проектиран за обширен системен контрол и наблюдение. След внедряване, той установява комуникация със сървър за командване и контрол на адрес 54.36.237.92, използвайки WebSocket протоколи.

Зловредният софтуер позволява на атакуващите да извършват широк спектър от злонамерени дейности, включително:

  • Изпълняване на произволни команди и управление на системни процеси
  • Извършване на файлови операции и манипулиране на съхранени данни
  • Заснемане на екранни снимки и наблюдение на потребителската активност
  • Емулиране на входове от мишка и клавиатура
  • Промяна на съдържанието на клипборда
  • Поддържане на постоянство чрез планирани задачи, промени в системния регистър на Windows или поставяне в директорията за стартиране

Тази комбинация от функции прави AGEWHEEZE универсален инструмент за шпионаж, странично движение и дългосрочно компрометиране на системи.

Измамна инфраструктура и производство, подпомогнато от изкуствен интелект

Разследване на измамния домейн „cert-ua.tech“ разкри индикации за автоматизирана или подпомогната от изкуствен интелект разработка. HTML кодът на уебсайта съдържаше забележителен коментар на руски език: „С Любовью, КИБЕР СЕРП“ („С любов, CYBER SERP“), което предполага приписване на група, наричаща себе си Cyber Serp.

Cyber Serp твърди, че е свързана с украинските кибер-ъндърграунд кръгове чрез своя Telegram канал, който е създаден през ноември 2025 г. и е натрупал над 700 абонати. Групата публично заяви, че фишинг кампанията е била насочена към до един милион имейл акаунта и е довела до над 200 000 компрометирани устройства, цифри, които значително надвишават независимите оценки.

Противоречиви твърдения и по-широка активност, свързана със заплахи

Cyber Serp се опита да се позиционира като селективен участник, твърдейки, че обикновените граждани няма да бъдат засегнати от операциите му. Подобни твърдения обаче са несъвместими с безразборния характер на мащабните фишинг кампании.

В отделен инцидент групата пое отговорност за пробива в Cipher, твърдейки, че е имала достъп до сървърни данни, клиентски бази данни и собствен изходен код. По-късно Cipher потвърди ограничено компрометиране, включващо идентификационни данни на служител, но подчерта, че:

  • Основната инфраструктура остана сигурна и функционираща
  • Засегнатият акаунт е имал достъп само до един проект, който не е чувствителен.

Това несъответствие подчертава обща тактика сред заплашителните участници, преувеличаващи въздействието, за да увеличат възприеманото влияние и доверие.

Оценка и последици за сигурността

Кампанията демонстрира продължаващата ефективност на тактиките за представяне за друг, особено когато се използват надеждни национални организации за киберсигурност. Въпреки че непосредственото въздействие беше ограничено, техническата сложност на AGEWHEEZE и мащабът на опитите за разпространение сигнализират за постоянен и развиващ се пейзаж на заплахите.

На организациите се препоръчва да засилят процесите за проверка на имейли, да проверяват нежеланите прикачени файлове и да обучат персонала как да разпознават опити за представяне за друг човек, включващи авторитетни институции.

Тенденция

Зловреден софтуер GlassWorm

Зловреден софтуер, Усъвършенствана постоянна заплаха (APT)
Нова вълна от зловредната кампания GlassWorm активно е насочена към веригите за доставки на софтуер, като използва откраднати GitHub токени, за да инжектира злонамерен код в стотици хранилища. Тази...

Най-гледан

Зареждане...