Slevová nabídka pro více licencí
Databáze hrozeb Nástroje pro vzdálenou správu AGEWHEEZE RAT

AGEWHEEZE RAT

V roce Mezo v roce Nástroje pro vzdálenou správu, Pokročilá trvalá hrozba (APT)
Přeložit do:

Analytici kybernetické bezpečnosti odhalili cílenou phishingovou operaci, při níž se útočníci vydávali za ukrajinský tým pro reakci na počítačové nouzové situace (Computer Emergency Response Team of Ukraine), aby distribuovali nástroj pro vzdálenou správu známý jako AGEWHEEZE. Kampaň, připisovaná skupině UAC-0255, se opírala o klamavé e-maily odeslané 26. a 27. března 2026, které nabádaly příjemce k instalaci tzv. „specializovaného softwaru“.

Tyto e-maily obsahovaly odkazy na heslem chráněný ZIP archiv hostovaný na Files.fm. Archiv s názvem CERT_UA_protection_tool.zip byl prezentován jako legitimní bezpečnostní nástroj, ale místo toho doručoval škodlivé datové soubory. Některé zprávy pocházely z falešné adresy „incidents@cert-ua.tech“, což dále posilovalo iluzi autenticity.

Profil cíle a dosah útoku

Operace měla široký záběr a zaměřila se na širokou škálu organizací, které jsou klíčové pro národní infrastrukturu a veřejné služby. Mezi ně patřily:

  • Vláda a státní instituce
  • Lékařská a zdravotnická zařízení
  • Společnosti související s bezpečností a obranou
  • Vzdělávací organizace
  • Finanční instituce
  • Firmy zabývající se vývojem softwaru

Navzdory široké strategii cílení se celková účinnost kampaně jeví jako omezená. Byl potvrzen pouze malý počet infekcí, které postihly především osobní zařízení zaměstnanců vzdělávacích institucí.

Uvnitř AGEWHEEZE: Schopnosti a mechanismy perzistence

AGEWHEEZE je trojský kůň pro vzdálený přístup založený na platformě Go, určený pro rozsáhlou kontrolu a dohled nad systémem. Po nasazení naváže komunikaci s řídicím a kontrolním serverem na adrese 54.36.237.92 pomocí protokolů WebSocket.

Malware umožňuje útočníkům provádět širokou škálu škodlivých aktivit, včetně:

  • Spouštění libovolných příkazů a správa systémových procesů
  • Provádění operací se soubory a manipulace s uloženými daty
  • Pořizování snímků obrazovky a sledování aktivity uživatelů
  • Emulace vstupů myší a klávesnicí
  • Změna obsahu schránky
  • Udržování perzistence pomocí naplánovaných úloh, úprav registru systému Windows nebo umístění v adresáři Startup

    • Tato kombinace funkcí dělá z AGEWHEEZE všestranný nástroj pro špionáž, laterální pohyb a dlouhodobé ohrožení systému.

    Klamavá infrastruktura a výroba s pomocí umělé inteligence

    Vyšetřování podvodné domény „cert-ua.tech“ odhalilo známky automatizovaného nebo uměle asistovaného vývoje. Zdrojový kód HTML webových stránek obsahoval pozoruhodný komentář v ruštině: „С Любовью, КИБЕР СЕРП“ („S láskou, CYBER SERP“), což naznačuje, že web patří skupině, která si říká Cyber Serp.

    CyberSerp se prostřednictvím svého telegramového kanálu, který byl založen v listopadu 2025 a nashromáždil přes 700 odběratelů, přihlásil k napojení na ukrajinské kybernetické podzemí. Skupina veřejně prohlásila, že phishingová kampaň zacílila až milion e-mailových účtů a vedla k napadení více než 200 000 zařízení, což jsou čísla, která výrazně převyšují nezávislá hodnocení.

    Protichůdná tvrzení a širší hrozby

    CyberSerp se pokouší prezentovat jako selektivní aktér a tvrdí, že běžní občané nebudou jeho operacemi ovlivněni. Taková prohlášení jsou však v rozporu s neselektivní povahou rozsáhlých phishingových kampaní.

    V samostatném incidentu se skupina přihlásila k odpovědnosti za narušení bezpečnosti systému Cipher s tvrzením o přístupu k datům serveru, klientským databázím a proprietárnímu zdrojovému kódu. Cipher později potvrdil omezené narušení bezpečnosti týkající se přihlašovacích údajů zaměstnance, ale zdůraznil, že:

    • Základní infrastruktura zůstala bezpečná a funkční
    • Dotčený účet měl přístup pouze k jednomu necitlivému projektu.

    Tento rozpor zdůrazňuje společnou taktiku mezi aktéry hrozeb, kteří zveličují dopad za účelem zesílení vnímaného vlivu a důvěryhodnosti.

    Důsledky pro hodnocení a bezpečnost

    Kampaň demonstruje pokračující účinnost taktik vydávání se za jiného člověka, zejména při využití důvěryhodných národních subjektů kybernetické bezpečnosti. I když byl bezprostřední dopad omezený, technická sofistikovanost AGEWHEEZE a rozsah pokusů o šíření signalizují přetrvávající a vyvíjející se prostředí hrozeb.

    Organizacím se doporučuje posílit procesy ověřování e-mailů, kontrolovat nevyžádané přílohy a vzdělávat zaměstnance v rozpoznávání pokusů o vydávání se za jinou osobu, do nichž jsou zapojeny autoritativní instituce.

    Trendy

    Nejvíce shlédnuto

    Načítání...