Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Εργαλεία απομακρυσμένης διαχείρισης AGEWHEEZE RAT

AGEWHEEZE RAT

Μέχρι το Mezo το Εργαλεία απομακρυσμένης διαχείρισης, Προηγμένη επίμονη απειλή (APT)
Μετάφραση σε:

Αναλυτές κυβερνοασφάλειας αποκάλυψαν μια στοχευμένη επιχείρηση ηλεκτρονικού "ψαρέματος" (phishing) στην οποία απειλητικοί παράγοντες παρίσταναν την Ομάδα Αντιμετώπισης Έκτακτης Ανάγκης Υπολογιστών της Ουκρανίας για να διανείμουν ένα εργαλείο απομακρυσμένης διαχείρισης γνωστό ως AGEWHEEZE. Η εκστρατεία, που αποδίδεται στην ομάδα UAC-0255, βασίστηκε σε παραπλανητικά email που στάλθηκαν στις 26 και 27 Μαρτίου 2026, προτρέποντας τους παραλήπτες να εγκαταστήσουν αυτό που περιγράφηκε ως "εξειδικευμένο λογισμικό".

Αυτά τα email περιείχαν συνδέσμους προς ένα αρχείο ZIP που προστατεύεται με κωδικό πρόσβασης και φιλοξενείται στο Files.fm. Το αρχείο, με την ονομασία CERT_UA_protection_tool.zip, παρουσιάστηκε ως ένα νόμιμο βοηθητικό πρόγραμμα ασφαλείας, αλλά αντ' αυτού παρέδωσε κακόβουλα ωφέλιμα φορτία. Ορισμένα μηνύματα προέρχονταν από την πλαστογραφημένη διεύθυνση 'incidents@cert-ua.tech', ενισχύοντας περαιτέρω την ψευδαίσθηση της αυθεντικότητας.

Προφίλ στόχου και εμβέλεια επίθεσης

Η επιχείρηση άνοιξε ένα ευρύ δίκτυο, στοχεύοντας σε ένα ευρύ φάσμα οργανισμών κρίσιμων για τις εθνικές υποδομές και τις δημόσιες υπηρεσίες. Σε αυτούς περιλαμβάνονταν:

  • Κυβερνητικοί και κρατικοί θεσμοί
  • Ιατρικές και υγειονομικές εγκαταστάσεις
  • Εταιρείες που σχετίζονται με την ασφάλεια και την άμυνα
  • Εκπαιδευτικοί οργανισμοί
  • Χρηματοπιστωτικά ιδρύματα
  • Εταιρείες ανάπτυξης λογισμικού

Παρά την ευρεία στρατηγική στόχευσης, η συνολική αποτελεσματικότητα της καμπάνιας φαίνεται περιορισμένη. Επιβεβαιώθηκε μόνο ένας μικρός αριθμός κρουσμάτων, που επηρέασαν κυρίως τις προσωπικές συσκευές των εργαζομένων σε εκπαιδευτικά ιδρύματα.

Μέσα στο AGEWHEEZE: Δυνατότητες και Μηχανισμοί Επιμονής

Το AGEWHEEZE είναι ένα trojan απομακρυσμένης πρόσβασης που βασίζεται σε Go και έχει σχεδιαστεί για εκτεταμένο έλεγχο και επιτήρηση συστήματος. Μόλις αναπτυχθεί, δημιουργεί επικοινωνία με έναν διακομιστή εντολών και ελέγχου στη διεύθυνση 54.36.237.92 χρησιμοποιώντας πρωτόκολλα WebSocket.

Το κακόβουλο λογισμικό επιτρέπει στους εισβολείς να εκτελούν ένα ευρύ φάσμα κακόβουλων δραστηριοτήτων, όπως:

  • Εκτέλεση αυθαίρετων εντολών και διαχείριση διαδικασιών συστήματος
  • Διεξαγωγή λειτουργιών αρχείων και χειρισμός αποθηκευμένων δεδομένων
  • Λήψη στιγμιότυπων οθόνης και παρακολούθηση της δραστηριότητας των χρηστών
  • Εξομοίωση εισόδων ποντικιού και πληκτρολογίου
  • Αλλαγή περιεχομένων προχείρου
  • Διατήρηση της επιμονής μέσω προγραμματισμένων εργασιών, τροποποιήσεων του μητρώου των Windows ή τοποθέτησης στον κατάλογο εκκίνησης

Αυτός ο συνδυασμός χαρακτηριστικών καθιστά το AGEWHEEZE ένα ευέλικτο εργαλείο για κατασκοπεία, πλευρικές κινήσεις και μακροπρόθεσμη παραβίαση του συστήματος.

Παραπλανητική Υποδομή και Κατασκευή με τη βοήθεια Τεχνητής Νοημοσύνης

Η έρευνα για τον δόλιο τομέα «cert-ua.tech» αποκάλυψε ενδείξεις αυτοματοποιημένης ή υποβοηθούμενης από τεχνητή νοημοσύνη ανάπτυξης. Ο πηγαίος κώδικας HTML του ιστότοπου περιείχε ένα αξιοσημείωτο σχόλιο στα ρωσικά: «С Любовью, КИБЕР СЕРП» («Με αγάπη, CYBER SERP»), που υποδηλώνει την απόδοση σε μια ομάδα που αυτοαποκαλείται Cyber Serp.

Η Cyber Serp ισχυρίστηκε ότι συνδέεται με ουκρανικούς κύκλους του κυβερνοχώρου μέσω του καναλιού της στο Telegram, το οποίο ιδρύθηκε τον Νοέμβριο του 2025 και έχει συγκεντρώσει πάνω από 700 συνδρομητές. Η ομάδα ισχυρίστηκε δημόσια ότι η εκστρατεία ηλεκτρονικού "ψαρέματος" (phishing) στόχευσε έως και ένα εκατομμύριο λογαριασμούς email και είχε ως αποτέλεσμα την παραβίαση πάνω από 200.000 συσκευών, αριθμοί που υπερβαίνουν σημαντικά τις ανεξάρτητες αξιολογήσεις.

Αντικρουόμενοι ισχυρισμοί και ευρύτερη απειλητική δραστηριότητα

Η Cyber Serp προσπάθησε να παρουσιάσει τον εαυτό της ως επιλεκτικό παράγοντα, ισχυριζόμενη ότι οι απλοί πολίτες δεν θα επηρεαστούν από τις δραστηριότητές της. Ωστόσο, τέτοιες δηλώσεις είναι ασυμβίβαστες με την αδιάκριτη φύση των μεγάλης κλίμακας καμπανιών ηλεκτρονικού "ψαρέματος" (phishing).

Σε ξεχωριστό περιστατικό, η ομάδα ανέλαβε την ευθύνη για την παραβίαση του Cipher, ισχυριζόμενη πρόσβαση σε δεδομένα διακομιστή, βάσεις δεδομένων πελατών και ιδιόκτητο πηγαίο κώδικα. Ο Cipher επιβεβαίωσε αργότερα μια περιορισμένη παραβίαση που αφορούσε τα διαπιστευτήρια ενός υπαλλήλου, αλλά τόνισε ότι:

  • Οι βασικές υποδομές παρέμειναν ασφαλείς και λειτουργικές
  • Ο επηρεαζόμενος λογαριασμός είχε πρόσβαση μόνο σε ένα μη ευαίσθητο έργο

Αυτή η ασυμφωνία υπογραμμίζει μια κοινή τακτική μεταξύ των φορέων απειλής, την υπερβολή ως προς τον αντίκτυπο για την ενίσχυση της αντιληπτής επιρροής και αξιοπιστίας.

Αξιολόγηση και επιπτώσεις στην ασφάλεια

Η εκστρατεία καταδεικνύει τη συνεχή αποτελεσματικότητα των τακτικών πλαστοπροσωπίας, ιδίως όταν αξιοποιούνται αξιόπιστες εθνικές οντότητες κυβερνοασφάλειας. Ενώ ο άμεσος αντίκτυπος ήταν περιορισμένος, η τεχνική πολυπλοκότητα του AGEWHEEZE και η κλίμακα των απόπειρων διανομής σηματοδοτούν ένα επίμονο και εξελισσόμενο τοπίο απειλών.

Συνιστάται στους οργανισμούς να ενισχύσουν τις διαδικασίες επαλήθευσης email, να ελέγχουν τα ανεπιθύμητα συνημμένα και να εκπαιδεύουν το προσωπικό τους σχετικά με την αναγνώριση προσπαθειών πλαστοπροσωπίας που αφορούν έγκυρους φορείς.

Τάσεις

Κακόβουλο λογισμικό GlassWorm

Κακόβουλο λογισμικό, Προηγμένη επίμονη απειλή (APT)
Ένα νέο κύμα της καμπάνιας κακόβουλου λογισμικού GlassWorm στοχεύει ενεργά αλυσίδες εφοδιασμού λογισμικού, εκμεταλλευόμενος κλεμμένα tokens GitHub για την εισαγωγή κακόβουλου κώδικα σε εκατοντάδες...

Περισσότερες εμφανίσεις

Φόρτωση...