Rabattilbud med flere licenser
Trusseldatabase Fjernadministrationsværktøjer AGEWHEEZE RAT

AGEWHEEZE RAT

Med Mezo i Fjernadministrationsværktøjer, Advanced Persistent Threat (APT)
Oversæt til:

Cybersikkerhedsanalytikere har afsløret en målrettet phishing-operation, hvor trusselsaktører udgiver sig for at være Ukraines Computer Emergency Response Team for at distribuere et fjernadministrationsværktøj kendt som AGEWHEEZE. Kampagnen, der tilskrives gruppen UAC-0255, baserede sig på vildledende e-mails sendt den 26. og 27. marts 2026, hvor modtagerne opfordres til at installere det, der blev beskrevet som 'specialiseret software'.

Disse e-mails indeholdt links til et adgangskodebeskyttet ZIP-arkiv, der var hostet på Files.fm. Arkivet, med navnet CERT_UA_protection_tool.zip, blev præsenteret som et legitimt sikkerhedsværktøj, men leverede i stedet ondsindede data. Nogle beskeder stammede fra den forfalskede adresse 'incidents@cert-ua.tech', hvilket yderligere forstærkede illusionen af ægthed.

Målprofil og angrebsrækkevidde

Operationen kastede et bredt net og var rettet mod en bred vifte af organisationer, der var kritiske for den nationale infrastruktur og offentlige tjenester. Disse omfattede:

  • Regerings- og statsinstitutioner
  • Medicinske og sundhedsmæssige faciliteter
  • Sikkerheds- og forsvarsrelaterede virksomheder
  • Uddannelsesorganisationer
  • Finansielle institutioner
  • Softwareudviklingsfirmaer

Trods den brede målretningsstrategi synes kampagnens samlede effektivitet begrænset. Kun et lille antal infektioner blev bekræftet, primært berørt af personlige enheder tilhørende medarbejdere i uddannelsesinstitutioner.

Inde i AGEWHEEZE: Evner og vedholdenhedsmekanismer

AGEWHEEZE er en Go-baseret fjernadgangstrojan, der er udviklet til omfattende systemkontrol og -overvågning. Når den er installeret, etablerer den kommunikation med en kommando- og kontrolserver på 54.36.237.92 ved hjælp af WebSocket-protokoller.

Malwaren gør det muligt for angribere at udføre en bred vifte af ondsindede aktiviteter, herunder:

  • Udførelse af vilkårlige kommandoer og styring af systemprocesser
  • Udførelse af filoperationer og manipulation af lagrede data
  • Optagelse af skærmbilleder og overvågning af brugeraktivitet
  • Emulering af mus- og tastaturinput
  • Ændring af indholdet af udklipsholderen
  • Opretholdelse af persistens via planlagte opgaver, ændringer i Windows-registreringsdatabasen eller placering i startmappen

    • Denne kombination af funktioner gør AGEWHEEZE til et alsidigt værktøj til spionage, lateral bevægelse og langsigtet systemkompromittering.

    Vildledende infrastruktur og AI-assisteret fremstilling

    Undersøgelse af det falske domæne 'cert-ua.tech' afslørede indikatorer for automatiseret eller AI-assisteret udvikling. Hjemmesidens HTML-kildekode indeholdt en bemærkelsesværdig kommentar på russisk: 'С Любовью, КИБЕР СЕРП' ('Med kærlighed, CYBER SERP'), hvilket tyder på, at det skyldes en gruppe, der kalder sig Cyber Serp.

    Cyber Serp har hævdet tilknytning til ukrainske cyber-underground-kredse via sin Telegram-kanal, som blev etableret i november 2025 og har akkumuleret over 700 abonnenter. Gruppen hævdede offentligt, at phishing-kampagnen var rettet mod op til en million e-mailkonti og resulterede i over 200.000 kompromitterede enheder, tal der betydeligt overstiger uafhængige vurderinger.

    Modstridende påstande og bredere trusselsaktivitet

    Cyber Serp har forsøgt at positionere sig som en selektiv aktør og hævder, at almindelige borgere ikke ville blive påvirket af deres aktiviteter. Sådanne udtalelser er dog uforenelige med den vilkårlige karakter af store phishing-kampagner.

    I en separat hændelse påtog gruppen sig ansvaret for at have brudt Cipher og påstod adgang til serverdata, klientdatabaser og proprietær kildekode. Cipher bekræftede senere en begrænset kompromittering, der involverede en medarbejders legitimationsoplysninger, men understregede, at:

    • Kerneinfrastrukturen forblev sikker og operationel
    • Den berørte konto havde kun adgang til et enkelt, ikke-følsomt projekt

    Denne uoverensstemmelse fremhæver en almindelig taktik blandt trusselsaktører, hvor man overdriver indflydelse for at forstærke den opfattede indflydelse og troværdighed.

    Vurdering og sikkerhedsmæssige konsekvenser

    Kampagnen demonstrerer den fortsatte effektivitet af efterligningstaktikker, især når man udnytter betroede nationale cybersikkerhedsenheder. Selvom den umiddelbare effekt blev inddæmmet, signalerer AGEWHEEZE's tekniske sofistikering og omfanget af forsøget på distribution et vedvarende og udviklende trusselsbillede.

    Organisationer rådes til at styrke e-mailbekræftelsesprocesser, granske uopfordrede vedhæftede filer og uddanne personale i at genkende forsøg på efterligning, der involverer autoritative institutioner.

    Trending

    Mest sete

    Indlæser...