AGEWHEEZE RAT

אנליסטים של אבטחת סייבר חשפו פעולת פישינג ממוקדת שבה גורמי איום התחזו לצוות תגובת החירום של אוקראינה כדי להפיץ כלי ניהול מרחוק המכונה AGEWHEEZE. הקמפיין, המיוחס לקבוצה UAC-0255, הסתמך על מיילים מטעים שנשלחו ב-26 וב-27 במרץ 2026, וקראו לנמענים להתקין את מה שתואר כ"תוכנה מיוחדת".

הודעות דוא"ל אלו הכילו קישורים לארכיון ZIP המוגן בסיסמה המאוחסן באתר Files.fm. הארכיון, ששמו CERT_UA_protection_tool.zip, הוצג ככלי אבטחה לגיטימי אך במקום זאת העביר מטענים זדוניים. חלק מההודעות הגיעו מהכתובת המזויפת 'incidents@cert-ua.tech', מה שחיזק עוד יותר את אשליית האותנטיות.

פרופיל מטרה וטווח התקפה

המבצע פרץ רשת רחבה, ופנה למגוון רחב של ארגונים החיוניים לתשתיות הלאומיות ולשירותים הציבוריים. אלה כללו:

• מוסדות ממשלתיים ומדינתיים
• מתקני רפואה ובריאות
• חברות אבטחה והגנה
• ארגוני חינוך
• מוסדות פיננסיים
• חברות פיתוח תוכנה

למרות אסטרטגיית המיקוד הרחבה, נראה כי האפקטיביות הכוללת של הקמפיין מוגבלת. אושר רק מספר קטן של הדבקות, בעיקר במכשירים אישיים של עובדים במוסדות חינוך.

בתוך AGEWHEEZE: יכולות ומנגנוני התמדה

AGEWHEEZE הוא טרויאני מבוסס Go לגישה מרחוק, שתוכנן לשליטה ומעקב נרחבים במערכת. לאחר הפריסה, הוא יוצר תקשורת עם שרת פיקוד ובקרה בכתובת 54.36.237.92 באמצעות פרוטוקולי WebSocket.

התוכנה הזדונית מאפשרת לתוקפים לבצע מגוון רחב של פעילויות זדוניות, כולל:

• ביצוע פקודות שרירותיות וניהול תהליכי מערכת
• ביצוע פעולות קבצים וטיפול בנתונים המאוחסנים
• צילום צילומי מסך ומעקב אחר פעילות המשתמשים
• אמולציה של קלט עכבר ומקלדת
• שינוי תוכן הלוח
• שמירה על עמידות באמצעות משימות מתוזמנות, שינויים ברישום של Windows או מיקום בספריית ההפעלה

שילוב תכונות זה הופך את AGEWHEEZE לכלי רב-תכליתי לריגול, תנועה רוחבית ופגיעה ארוכת טווח במערכת.

תשתית מטעה וייצור בסיוע בינה מלאכותית

חקירה של הדומיין ההונאה 'cert-ua.tech' חשפה אינדיקציות לפיתוח אוטומטי או בסיוע בינה מלאכותית. קוד המקור של ה-HTML של האתר הכיל הערה בולטת ברוסית: 'Любовью, КИБЕР СЕРП' ('באהבה, CYBER SERP'), מה שמרמז על ייחוס לקבוצה המכנה את עצמה Cyber Serp.

Cyber Serp טענה לקשר עם מעגלי סייבר-מחתרת אוקראינים באמצעות ערוץ הטלגרם שלה, שהוקם בנובמבר 2025 וצבר למעלה מ-700 מנויים. הקבוצה טענה בפומבי כי קמפיין הפישינג כיוון לעד מיליון חשבונות דוא"ל והביא ליותר מ-200,000 מכשירים שנפרצו, נתונים העולים משמעותית על הערכות עצמאיות.

טענות סותרות ופעילות איומים רחבה יותר

Cyber Serp ניסתה למצב את עצמה כשחקנית סלקטיבית, בטענה שאזרחים מן השורה לא יושפעו מפעילותה. עם זאת, הצהרות כאלה אינן עולות בקנה אחד עם האופי חסר ההבחנה של קמפיינים גדולים של פישינג.

בתקרית נפרדת, הקבוצה נטלה אחריות על פריצת Cipher, וטענה לגישה לנתוני שרת, מסדי נתונים של לקוחות וקוד מקור קנייני. Cipher אישרה מאוחר יותר פגיעה מוגבלת שכללה את פרטי הגישה של עובד, אך הדגישה כי:

• תשתית הליבה נותרה מאובטחת ותפעולית
• לחשבון המושפע הייתה גישה לפרויקט אחד בלבד, שאינו רגיש.

פער זה מדגיש טקטיקה נפוצה בקרב גורמי איום, של הגזמת ההשפעה כדי להגביר את ההשפעה והאמינות הנתפסות.

הערכה והשלכות ביטחוניות

הקמפיין מדגים את היעילות המתמשכת של טקטיקות התחזות, במיוחד כאשר משתמשים בגופים לאומיים מהימנים בתחום אבטחת הסייבר. בעוד שההשפעה המיידית הוגבלה, התחכום הטכני של AGEWHEEZE והיקף ניסיונות ההפצה מאותתים על נוף איומים מתמשך ומתפתח.

מומלץ לארגונים לחזק את תהליכי אימות הדוא"ל, לבחון קבצים מצורפים לא רצויים ולחנך את הצוות כיצד לזהות ניסיונות התחזות הכוללים מוסדות מוסמכים.