Slevová nabídka pro více licencí
Databáze hrozeb Pokročilá trvalá hrozba (APT) GREYVIBE Hrozivý herec

GREYVIBE Hrozivý herec

V roce Mezo v roce Pokročilá trvalá hrozba (APT), Malware
Přeložit do:

Dříve neidentifikovaný aktér hrozby známý jako GREYVIBE je spojován s trvalou kyberšpionážní kampaní zaměřenou na Ukrajinu a organizace s touto zemí spojené přinejmenším od srpna 2025. Analýza naznačuje, že skupina operuje primárně v ruském časovém pásmu a komunikuje v ruštině. Její aktivity úzce souvisejí se zájmy ruského státu, zejména se shromažďováním zpravodajských informací v souvislosti s probíhajícím rusko-ukrajinským konfliktem.

GREYVIBE se zaměřila na širokou škálu odvětví, včetně vojenských institucí, vládních agentur, civilních organizací a soukromých podniků. Ačkoli operace skupiny vykazují charakteristiky spojené s aktivitami národních států, důkazy také naznačují propojení s širší ruskou kyberkriminální krajinou prostřednictvím osob, o nichž se předpokládá, že jsou současnými nebo bývalými aktéry kyberkriminality.

Různé metody infekce a arzenál vlastního malwaru

Útočník využívá řadu mechanismů k ohrožení obětí. Patří mezi ně cílené spear phishingové kampaně, klamavé ověřovací stránky CAPTCHA a podvodné webové stránky pro dospělé s ukrajinskou tematikou. Ve všech svých operacích se GREYVIBE soustavně spoléhá na interně vyvinutý malware, zavaděče a nástroje pro zamlžení, aby se vyhnul detekci a udržel si přístup k napadeným systémům.

Bylo pozorováno několik odlišných útočných rámců:

  • PhantomMail distribuuje škodlivé ZIP a RAR archivy prostřednictvím phishingových e-mailů obsahujících odkazy hostované na Google Drive a 4sync. Tyto archivy obsahují JavaScriptové zavaděče, které spouštějí lákavé dokumenty při nasazení PhantomRelay, trojského koně pro vzdálený přístup (RAT) založeného na PowerShellu, který je schopen průzkumu systému a vzdáleného provádění příkazů.
  • PhantomClick využívá falešné CAPTCHA stránky ve stylu ClickFix hostované na doménách vydávajících se za služby jako Zoom a LAPAS. Oběti jsou manipulovány k provádění příkazů, které spouštějí infekční řetězec PhantomRelay.
  • PrincessClub využívá padělané ukrajinské webové stránky klubů pro dospělé k distribuci spywaru FallSpy na zařízeních Android a buď PhantomRelayV1, nebo LegionRelay na systémech Windows. Pozdější verze těchto webových stránek obsahovaly funkci živého hovoru založenou na WebRTC pro zachycení zvuku a videa obětí. FallSpy je schopen shromažďovat citlivé informace z infikovaných zařízení Android, zatímco LegionRelay podporuje vyhledávání souborů, krádež dat, pořizování snímků obrazovky, extrakci přihlašovacích údajů prohlížeče, sběr dat z Telegramu a WhatsAppu a konfiguraci protokolu RDP (Remote Desktop Protocol). PhantomRelayV1 rozšiřuje původní PhantomRelay přidáním vlastního mechanismu perzistence watchdog.
  • DroneLink se maskuje jako charitativní organizace podporující ozbrojené síly Ukrajiny a dodává WireGuard spolu s LegionRelay.
  • Nebo nasazuje variantu FallSpy maskovanou jako ruský přihlašovací portál, pravděpodobně s cílem oklamat ukrajinský vojenský personál a přimět ho věřit, že přistupuje k legitimnímu ruskému vojenskému systému.

Umělá inteligence jako multiplikátor síly

Jedním z nejpozoruhodnějších aspektů operací skupiny GREYVIBE je její zjevná závislost na generativní umělé inteligenci a rozsáhlých jazykových modelech pro posílení útočných schopností. Důkazy naznačují, že skupina využívala platformy jako Ideogram AI, OpenAI ChatGPT a Google Gemini k pomoci s generováním obrázků, vývojem malwaru, obfuskací skriptů, vytvářením backendové infrastruktury a operacemi po kompromitaci.

Tento přístup s podporou umělé inteligence nabízí několik provozních výhod. Pomáhá kompenzovat mezery v technických dovednostech, urychluje vývojové cykly a snižuje závislost na dříve identifikovaných malwarových rodinách a nástrojích, které by mohly usnadnit atribuci.

Rostoucí využívání umělé inteligence v kybernetických operacích představuje pro obránce značnou výzvu. Aktéři útoků mohou rychle generovat, upravovat nebo nahrazovat komponenty svých nástrojů, což snižuje účinnost tradičních metod atribuce, které se spoléhají na stabilní technické indikátory a opakující se artefakty malwaru.

Provozní slabiny odhalují mezery ve vývoji

Přestože GREYVIBE těží z vývoje s pomocí umělé inteligence, prokázal řadu nedostatků v provozní bezpečnosti. Výzkumníci identifikovali konstrukční nedostatky v LegionRelay, které neúmyslně odhalily backendové funkce, což poskytlo vhled do vnitřního fungování malwaru.

Takové chyby jsou u vysoce sofistikovaných aktérů sponzorovaných státem obecně neobvyklé, což naznačuje, že GREYVIBE nemusí představovat tradiční operaci zpravodajské služby. Zdá se, že skupina má naopak nízkou až střední technickou úroveň a zároveň využívá technologie umělé inteligence k rozšíření schopností nad rámec své inherentní úrovně dovedností.

Indikátory kyberkriminálních spojení

Několik zjištění naznačuje, že GREYVIBE udržuje vazby na širší ruský ekosystém kyberkriminality:

  • Přístup k nástroji pro tvorbu ISO obrazů, který je spojen s podezřením na vazby na gang TrickBot a UAC-0098, nebo jeho používání.
  • Detekce variant PhantomRelay v rámci zdánlivě nesouvisejících kyberzločinných kampaní, včetně operací s hlasovým phishingem v Microsoft Teams prováděných mezi červencem 2025 a únorem 2026 a doručovacích kampaní KongTuke pozorovaných mezi únorem a březnem 2026, které využívaly techniky ClickFix.
  • Nahrávání vzorků z rané fáze vývoje a testování.
  • Používání neformálního internetového slangu, jako jsou „letsrollboyos“, „totallyunsus“ a „cuteuwu“, v konvencích pojmenování vývojových artefaktů.
  • Nasazení těžaře kryptoměn XMRig na omezeném počtu systémů infikovaných virem LegionRelay.

Tyto ukazatele podporují hodnocení mírné jistoty, že GREYVIBE má smysluplné vazby na sítě kybernetické kriminality, a hodnocení nízké až střední jistoty, že někteří členové mohou být v současné době nebo v minulosti zapojeni do aktivit kybernetické kriminality.

Stírání hranice mezi státními a zločineckými operacemi

Přesná povaha vztahu GREYVIBE s ruským státem zůstává nejistá. Existuje několik možností, včetně integrace pracovníků kyberzločinců do státem podporované organizace, nezávislých operátorů vykonávajících státem řízené úkoly nebo vytvoření hybridní struktury, která kombinuje kriminální a státní prvky.

V důsledku toho se GREYVIBE nachází v komplexním prostoru mezi tradiční kyberkriminalitou a kybernetickými operacemi propojenými s vládou. Toto překrývání komplikuje úsilí o atribuci a zdůrazňuje stále více rozmazané hranice mezi finančně motivovanou kyberkriminální činností a státem sponzorovanými zpravodajskými operacemi.

Trendy

Podvod s e-maily na spolupráci na LinkedInu

Phishing, Spam
Kyberzločinci stojící za podvodem s LinkedIn Collaboration se snaží nalákat příjemce něčím, co vypadá jako profesionální obchodní dotaz. E-maily údajně pocházejí od kupujícího jménem „Jonathan Spriggs“ ze společnosti Storex Trading Ltd., který údajně objevil příjemce přes LinkedIn a chce s ním prodiskutovat velkou objednávku produktů zahrnující 12 000 kusů. Aby zpráva vypadala autenticky,...

Váš e-mailový klient Microsoft Outlook je zastaralý...

Phishing, Spam
E-maily s textem „Váš e-mailový klient Microsoft Outlook je zastaralý“ jsou phishingové zprávy vytvořené tak, aby vypadaly jako oficiální bezpečnostní oznámení z Microsoft Outlooku. E-maily varují příjemce, že jejich e-mailový klient je údajně zastaralý, a tvrdí, že pokud neprovede okamžitou aktualizaci, může dojít ke ztrátě e-mailů, kontaktů, kalendářů, schůzek a dalších důležitých dat z účtu....

Nejvíce shlédnuto

Načítání...