Mitme litsentsi allahindluspakkumine
Ohtude andmebaas Täiustatud püsiv oht (APT) GREYVIBE ohunäitleja

GREYVIBE ohunäitleja

Aastaks Mezo aastal Täiustatud püsiv oht (APT), Pahavara
Tõlgi:

Varem tuvastamata ohutegijat GREYVIBE on seostatud vähemalt alates 2025. aasta augustist Ukrainat ja riigiga seotud organisatsioone sihtiva pideva küberspionaažikampaaniaga. Analüüs näitab, et rühmitus tegutseb peamiselt Venemaa ajavööndis ja suhtleb vene keeles. Selle tegevus on tihedalt seotud Venemaa riigi huvidega, eriti käimasoleva Venemaa-Ukraina konfliktiga seotud luureandmete kogumisega.

GREYVIBE on sihtinud laia sektorit, sealhulgas sõjaväeinstitutsioone, valitsusasutusi, tsiviilorganisatsioone ja eraettevõtteid. Kuigi grupi tegevusel on rahvusriigi tegevusega seostatavaid tunnuseid, viitavad tõendid ka seostele laiema Venemaa küberkuritegevuse maastikuga isikute kaudu, keda peetakse praegusteks või endisteks küberkuritegevuse tegelasteks.

Mitmekesised nakatumismeetodid ja kohandatud pahavara arsenal

Ohvrite kompromiteerimiseks kasutab see tegutseja mitmesuguseid mehhanisme. Nende hulka kuuluvad sihipärased andmepüügikampaaniad, petlikud CAPTCHA kinnituslehed ja petturlikud Ukraina-teemalised täiskasvanute meelelahutusveebisaidid. GREYVIBE tugineb oma tegevuses pidevalt sisemiselt arendatud pahavarale, laaduritele ja hägustamisvahenditele, et vältida avastamist ja säilitada juurdepääs ohustatud süsteemidele.

On täheldatud mitmeid erinevaid rünnakuraamistikke:

  • PhantomMail levitab pahatahtlikke ZIP- ja RAR-arhiive õngitsuskirjade kaudu, mis sisaldavad Google Drive'is ja 4syncis majutatud linke. Need arhiivid sisaldavad JavaScripti laadureid, mis käivitavad peibutusdokumente, juurutades samal ajal PhantomRelay'd, PowerShelli-põhist kaugjuurdepääsu troojat (RAT), mis on võimeline süsteemi luurama ja käske kaugjuhtimise teel täitma.
  • PhantomClick kasutab ClickFixi-stiilis võltsitud CAPTCHA-lehti, mis on majutatud domeenidel, mis imiteerivad teenuseid nagu Zoom ja LAPAS. Ohvreid manipuleeritakse täitma käske, mis käivitavad PhantomRelay nakkusahela.
  • PrincessClub kasutab võltsitud Ukraina täiskasvanute klubide veebisaite FallSpy nuhkvara levitamiseks Android-seadmetes ja kas PhantomRelayV1 või LegionRelay levitamiseks Windowsi süsteemides. Nende veebisaitide hilisemad versioonid sisaldasid WebRTC-põhist reaalajas kõnede funktsiooni ohvrite heli ja video jäädvustamiseks. FallSpy suudab nakatunud Android-seadmetest tundlikku teavet koguda, samas kui LegionRelay toetab failide avastamist, andmete vargust, ekraanipiltide jäädvustamist, brauseri mandaatide ekstraheerimist, Telegrami ja WhatsAppi andmete kogumist ning kaugtöölaua protokolli (RDP) konfigureerimist. PhantomRelayV1 laiendab algset PhantomRelay'd, lisades kohandatud valvekoera püsivuse mehhanismi.
  • DroneLink teeskleb end Ukraina relvajõude toetavate heategevusorganisatsioonidena ja tarnib koos LegionRelayga WireGuardi.
  • Nebo kasutab FallSpy varianti, mis on maskeeritud venekeelseks sisselogimisportaaliks, mille eesmärk on tõenäoliselt petta Ukraina sõjaväelasi uskuma, et nad pääsevad ligi legaalsele Venemaa sõjaväesüsteemile.

Tehisintellekt kui jõu kordaja

Üks GREYVIBE'i tegevuse tähelepanuväärsemaid aspekte on selle ilmne tuginemine genereerivale tehisintellektile ja ulatuslikele keelemudelitele rünnakuvõime suurendamiseks. Tõendid viitavad sellele, et rühm on kasutanud selliseid platvorme nagu Ideogram AI, OpenAI ChatGPT ja Google Gemini, et aidata kaasa piltide genereerimisele, pahavara arendamisele, skriptide hägustamisele, taustsüsteemi infrastruktuuri loomisele ja rünnakujärgsetele toimingutele.

See tehisintellektil põhinev lähenemisviis pakub mitmeid operatiivseid eeliseid. See aitab kompenseerida tehniliste oskuste lünki, kiirendab arendustsüklit ja vähendab sõltuvust varem tuvastatud pahavara perekondadest ja tööriistadest, mis võiksid omistamist hõlbustada.

Tehisintellekti üha suurenev kasutamine küberoperatsioonides on kaitsjatele märkimisväärne väljakutse. Ohutegelased saavad oma tööriistakomplektide komponente kiiresti genereerida, muuta või asendada, vähendades traditsiooniliste omistamismeetodite tõhusust, mis tuginevad stabiilsetele tehnilistele näitajatele ja korduvatele pahavara artefaktidele.

Operatiivsed nõrkused paljastavad arengulünki

Vaatamata tehisintellekti abil arendatud lahendusele on GREYVIBE näidanud mitmeid operatiivse turvalisuse puudujääke. Teadlased tuvastasid LegionRelays disainivigu, mis tahtmatult paljastasid serveripoolse funktsionaalsuse, andes ülevaate pahavara sisemistest toimingutest.

Sellised vead on ülimalt keerukate riiklikult rahastatud üksuste seas üldiselt haruldased, mis viitab sellele, et GREYVIBE ei pruugi esindada traditsioonilist luureteenistuse operatsiooni. Selle asemel näib rühmitus olevat tehniliselt madala kuni keskmise tasemega, kasutades samal ajal tehisintellekti tehnoloogiaid, et oma võimekust ületavalt suurendada.

Küberkurjategijate ühenduste näitajad

Mitmed leiud viitavad sellele, et GREYVIBE-il on seosed laiema Venemaa küberkuritegevuse ökosüsteemiga:

  • Juurdepääs ISO-hoone kommunaalteenusele või selle kasutamine, mis on seotud kahtlustatavate sidemetega TrickBoti jõugu ja UAC-0098-ga.
  • PhantomRelay variantide tuvastamine näiliselt mitteseotud küberkuritegevuse kampaaniates, sealhulgas Microsoft Teamsi häälõngitsusoperatsioonides, mis viidi läbi juulist 2025 kuni veebruarini 2026, ja KongTuke'i edastuskampaaniates, mida täheldati veebruarist märtsini 2026 ja mis kasutasid ClickFixi tehnikaid.
  • Varajase arendus- ja testimisstaadiumis näidiste üleslaadimine.
  • Mitteametlike internetislängi nagu „letsrollboyos”, „totallyunsus” ja „cuteuwu” kasutamine arendusartefaktide nimetamise konventsioonides.
  • XMRig krüptovaluuta kaevandaja juurutamine piiratud arvule LegionRelayga nakatunud süsteemidele.

Need näitajad toetavad mõõdukat usaldushinnangut, et GREYVIBE-il on märkimisväärsed sidemed küberkurjategijate võrgustikega, ja madalat kuni mõõdukat usaldushinnangut, et mõned liikmed võivad praegu olla või olla varem olnud seotud küberkuritegevusega.

Riiklike ja kriminaalsete operatsioonide vahelise piiri hägustamine

GREYVIBE'i ja Venemaa riigi vahelise suhte täpne olemus on endiselt ebaselge. On mitu võimalust, sealhulgas küberkurjategijate integreerimine riigi toetatud organisatsiooni, sõltumatud operaatorid, kes täidavad riigile suunatud ülesandeid, või hübriidstruktuuri loomine, mis ühendab kuritegelikke ja riigiga seotud elemente.

Seetõttu paikneb GREYVIBE keerulises ruumis traditsioonilise küberkuritegevuse ja valitsusega seotud küberoperatsioonide vahel. See kattumine raskendab omistamispüüdlusi ja toob esile üha hägusemad piirid rahaliselt motiveeritud küberkuritegevuse ja riiklikult toetatud luureoperatsioonide vahel.

Trendikas

Teie Microsoft Outlooki e-posti klient on aegunud –...

Andmepüük, Rämpspost
Meilid pealkirjaga „Teie Microsoft Outlooki meiliklient on aegunud” on andmepüügisõnumid, mis on loodud välja nägema nagu Microsoft Outlooki ametlikud turvateatised. Meilid hoiatavad saajaid, et nende meiliklient on väidetavalt aegunud, ja väidavad, et kohese värskendamata jätmise tagajärjel võivad kaduma minna meilid, kontaktid, kalendrid, koosolekud ja muud olulised kontoandmed. Et sõnum...

Enim vaadatud

Laadimine...