Оферта за отстъпка за множество лицензи
База данни за заплахи Усъвършенствана постоянна заплаха (APT) GREYVIBE Актьор на заплаха

GREYVIBE Актьор на заплаха

До Mezo през Усъвършенствана постоянна заплаха (APT), Зловреден софтуерг
Превод на:

Неидентифициран досега хакер, известен като GREYVIBE, е свързан с продължителна кибершпионска кампания, насочена срещу Украйна и организации, свързани със страната, поне от август 2025 г. Анализът показва, че групата действа предимно в руската часова зона и комуникира на руски език. Дейностите ѝ са тясно свързани с руските държавни интереси, по-специално с усилията за събиране на разузнавателна информация, свързана с продължаващия руско-украински конфликт.

GREYVIBE е насочена към широк кръг от сектори, включително военни институции, правителствени агенции, граждански организации и частен бизнес. Въпреки че операциите на групата показват характеристики, свързани с дейност на национално ниво, доказателствата също така сочат връзки с по-широкия руски киберпрестъпен пейзаж чрез лица, за които се смята, че са настоящи или бивши участници в киберпрестъпления.

Разнообразни методи за заразяване и арсенал от персонализиран зловреден софтуер

Злоумишленикът използва различни механизми за доставка, за да компрометира жертвите. Те включват силно насочени фишинг кампании, измамни CAPTCHA страници за проверка и измамни уебсайтове за забавление за възрастни с украинска тематика. В своите операции GREYVIBE постоянно разчита на вътрешно разработен зловреден софтуер, инструменти за зареждане и инструменти за обфускация, за да избегне откриването и да поддържа достъп до компрометираните системи.

Наблюдавани са няколко различни схеми за атака:

  • PhantomMail разпространява злонамерени ZIP и RAR архиви чрез фишинг имейли, съдържащи връзки, хоствани в Google Drive и 4sync. Тези архиви включват JavaScript loaders, които стартират документи-примамки, докато внедряват PhantomRelay, троянски кон за отдалечен достъп (RAT), базиран на PowerShell, способен да извършва системно разузнаване и дистанционно изпълнение на команди.
  • PhantomClick използва фалшиви CAPTCHA страници в стил ClickFix, хоствани на домейни, представящи се за услуги като Zoom и LAPAS. Жертвите биват манипулирани да изпълняват команди, които задействат веригата за заразяване на PhantomRelay.
  • PrincessClub използва фалшиви украински уебсайтове за клубове за възрастни, за да разпространява шпионски софтуер FallSpy на устройства с Android и PhantomRelayV1 или LegionRelay на системи с Windows. По-късни версии на тези уебсайтове включват базирана на WebRTC функционалност за разговори на живо, за да заснемат аудио и видео на жертвите. FallSpy е способен да събира чувствителна информация от заразени устройства с Android, докато LegionRelay поддържа откриване на файлове, кражба на данни, заснемане на екранни снимки, извличане на идентификационни данни от браузъра, събиране на данни от Telegram и WhatsApp и конфигурация на Remote Desktop Protocol (RDP). PhantomRelayV1 разширява оригиналния PhantomRelay, като добавя персонализиран механизъм за запазване на данните.
  • DroneLink се маскира като благотворителни организации, подкрепящи въоръжените сили на Украйна, и доставя WireGuard заедно с LegionRelay.
  • Nebo използва вариант на FallSpy, прикрит като портал за вход на руски език, вероятно с цел да заблуди украинския военен персонал, като го накара да повярва, че има достъп до легитимна руска военна система.

Изкуственият интелект като умножител на силата

Един от най-забележителните аспекти на дейността на GREYVIBE е очевидната ѝ зависимост от генеративен изкуствен интелект и големи езикови модели за подобряване на офанзивните възможности. Данните сочат, че групата е използвала платформи като Ideogram AI, OpenAI ChatGPT и Google Gemini, за да съдейства за генериране на изображения, разработване на зловреден софтуер, обфускация на скриптове, създаване на backend инфраструктура и операции след компрометиране.

Този подход, подпомаган от изкуствен интелект, предлага няколко оперативни предимства. Той помага за компенсиране на пропуските в техническите умения, ускорява циклите на разработка и намалява зависимостта от предварително идентифицирани семейства злонамерен софтуер и инструменти, които биха могли да улеснят атрибуцията.

Нарастващото използване на изкуствен интелект в кибероперациите представлява значително предизвикателство за защитниците. Злонамерените лица могат бързо да генерират, модифицират или заменят компоненти на своите инструменти, намалявайки ефективността на традиционните методи за атрибуция, които разчитат на стабилни технически индикатори и повтарящи се артефакти от зловреден софтуер.

Оперативните слабости разкриват пропуски в развитието

Въпреки че се възползва от разработката, подпомогната от изкуствен интелект, GREYVIBE демонстрира множество недостатъци в оперативната сигурност. Изследователите идентифицираха недостатъци в дизайна на LegionRelay, които неволно разкриха функционалността на backend-а, предоставяйки представа за вътрешните операции на зловредния софтуер.

Подобни грешки обикновено са рядкост сред висококвалифицирани държавно спонсорирани участници, което предполага, че GREYVIBE може да не представлява традиционна разузнавателна операция. Вместо това, групата изглежда притежава ниска до умерена техническа сложност, като същевременно използва технологии с изкуствен интелект, за да подобри възможностите си отвъд присъщото ѝ ниво на умения.

Индикатори за киберпрестъпни връзки

Многобройни открития показват, че GREYVIBE поддържа връзки с по-широката руска екосистема за киберпрестъпления:

  • Достъп до или използване на помощна програма за изграждане на ISO файлове, свързана с предполагаеми връзки с бандата TrickBot и UAC-0098.
  • Откриване на варианти на PhantomRelay в рамките на привидно несвързани киберпрестъпни кампании, включително операции за гласов фишинг на Microsoft Teams, проведени между юли 2025 г. и февруари 2026 г., и кампании за доставка на KongTuke, наблюдавани между февруари и март 2026 г., които използват техники на ClickFix.
  • Качвания на проби в ранен етап на разработка и тестване.
  • Използване на неформален интернет жаргон като „letsrollboyos“, „totallyunsus“ и „cuteuwu“ в конвенциите за именуване на артефакти при разработка.
  • Разгръщане на криптовалутния майнер XMRig на ограничен брой системи, заразени с LegionRelay.

Тези индикатори подкрепят оценката за умерено доверие, че GREYVIBE има значими връзки с киберпрестъпни мрежи, и оценката за ниско до умерено доверие, че някои членове може в момента да участват или да са участвали в киберпрестъпни дейности.

Размиване на границата между държавните и престъпните операции

Точният характер на връзката на GREYVIBE с руската държава остава неясен. Съществуват няколко възможности, включително интегриране на киберпрестъпен персонал в държавна организация, независими оператори, изпълняващи задачи, ръководени от държавата, или формирането на хибридна структура, която съчетава криминални и свързани с държавата елементи.

В резултат на това GREYVIBE заема сложно пространство между традиционните киберпрестъпления и кибероперациите, свързани с правителството. Това припокриване усложнява усилията за определяне на вината и подчертава все по-размитите граници между финансово мотивираната киберпрестъпна дейност и спонсорираните от държавата разузнавателни операции.

Тенденция

Измама с имейли за сътрудничество в LinkedIn

Фишинг, Спам
Киберпрестъпниците, стоящи зад измамата LinkedIn Collaboration, се опитват да привлекат получателите с нещо, което изглежда като професионално бизнес запитване. Имейлите твърдят, че произхождат от купувач на име „Джонатан Спригс“ от Storex Trading Ltd., който уж е открил получателя чрез LinkedIn и желае да обсъди голяма поръчка за продукти, включваща 12 000 бройки. За да изглежда съобщението...

Вашият имейл клиент на Microsoft Outlook е остарял -...

Фишинг, Спам
Имейлите „Вашият имейл клиент на Microsoft Outlook е остарял“ са фишинг съобщения, създадени да изглеждат като официални известия за сигурност от Microsoft Outlook. Имейлите предупреждават получателите, че имейл клиентът им е остарял и твърдят, че ако не го актуализират незабавно, това може да доведе до загуба на имейли, контакти, календари, срещи и други важни данни за акаунта. За да изглежда...

Най-гледан

Зареждане...