Ponuda s popustom na više licenci
Baza prijetnji Napredna trajna prijetnja (APT) GREYVIBE Prijetnja Akter

GREYVIBE Prijetnja Akter

Do Mezo. Napredna trajna prijetnja (APT), Malware. godine
Prevedi na:

Prethodno neidentificirani akter prijetnje poznat kao GREYVIBE povezan je s kontinuiranom kampanjom kibernetičke špijunaže usmjerenom na Ukrajinu i organizacije povezane s tom zemljom najmanje od kolovoza 2025. Analiza sugerira da skupina djeluje prvenstveno unutar ruske vremenske zone i komunicira na ruskom jeziku. Njihove aktivnosti usko su usklađene s ruskim državnim interesima, posebno s naporima prikupljanja obavještajnih podataka vezanim uz tekući rusko-ukrajinski sukob.

GREYVIBE je ciljao širok raspon sektora, uključujući vojne institucije, vladine agencije, civilne organizacije i privatna poduzeća. Iako djelovanje grupe pokazuje karakteristike povezane s aktivnostima nacionalne države, dokazi također ukazuju na veze sa širim ruskim kibernetičkim kriminalnim krajolikom putem pojedinaca za koje se vjeruje da su sadašnji ili bivši akteri kibernetičkog kriminala.

Različite metode zaraze i arsenal prilagođenog zlonamjernog softvera

Prijetnja koristi razne mehanizme isporuke kako bi kompromitirao žrtve. To uključuje visoko ciljane spear-phishing kampanje, obmanjujuće CAPTCHA stranice za provjeru i lažne web stranice za zabavu za odrasle s ukrajinskom tematikom. U svom poslovanju, GREYVIBE se dosljedno oslanja na interno razvijeni zlonamjerni softver, učitavače i alate za maskiranje kako bi izbjegao otkrivanje i održao pristup kompromitiranim sustavima.

Uočeno je nekoliko različitih okvira napada:

  • PhantomMail distribuira zlonamjerne ZIP i RAR arhive putem spear-phishing e-poruka koje sadrže poveznice hostirane na Google disku i 4syncu. Ove arhive uključuju JavaScript učitavače koji pokreću lažne dokumente dok implementiraju PhantomRelay, trojanca za daljinski pristup (RAT) temeljenog na PowerShellu, sposobnog za izviđanje sustava i daljinsko izvršavanje naredbi.
  • PhantomClick koristi lažne CAPTCHA stranice u stilu ClickFixa koje se nalaze na domenama koje se lažno predstavljaju kao usluge poput Zooma i LAPAS-a. Žrtve se manipuliraju da izvrše naredbe koje pokreću lanac zaraze PhantomRelayjem.
  • PrincessClub koristi krivotvorene ukrajinske web stranice klubova za odrasle za distribuciju špijunskog softvera FallSpy na Android uređajima i PhantomRelayV1 ili LegionRelay na Windows sustavima. Kasnije verzije ovih web stranica uključivale su funkcionalnost poziva uživo temeljenu na WebRTC-u za snimanje zvuka i videa žrtava. FallSpy je sposoban prikupljati osjetljive informacije sa zaraženih Android uređaja, dok LegionRelay podržava otkrivanje datoteka, krađu podataka, snimanje zaslona, izdvajanje vjerodajnica preglednika, prikupljanje podataka Telegrama i WhatsAppa te konfiguraciju Remote Desktop Protocol (RDP). PhantomRelayV1 proširuje izvorni PhantomRelay dodavanjem prilagođenog mehanizma perzistentnosti nadzora.
  • DroneLink se maskira kao dobrotvorna organizacija koja podržava Oružane snage Ukrajine i isporučuje WireGuard uz LegionRelay.
  • Nebo koristi varijantu FallSpyja prikrivenu kao ruski portal za prijavu, vjerojatno s ciljem prevare ukrajinskog vojnog osoblja kako bi ga natjerali da povjeruje da pristupa legitimnom ruskom vojnom sustavu.

Umjetna inteligencija kao multiplikator sile

Jedan od najznačajnijih aspekata GREYVIBE-ovog djelovanja jest očito oslanjanje na generativnu umjetnu inteligenciju i modele velikih jezika kako bi se poboljšale ofenzivne sposobnosti. Dokazi upućuju na to da je grupa koristila platforme poput Ideogram AI, OpenAI ChatGPT i Google Gemini kako bi pomogla u generiranju slika, razvoju zlonamjernog softvera, maskiranju skripti, stvaranju backend infrastrukture i operacijama nakon kompromitiranja.

Ovaj pristup uz pomoć umjetne inteligencije nudi nekoliko operativnih prednosti. Pomaže u kompenzaciji nedostataka u tehničkim vještinama, ubrzava razvojne cikluse i smanjuje ovisnost o prethodno identificiranim obiteljima zlonamjernog softvera i alatima koji bi mogli olakšati atribuciju.

Sve veća upotreba umjetne inteligencije unutar kibernetičkih operacija predstavlja značajan izazov za branitelje. Akteri prijetnji mogu brzo generirati, modificirati ili zamijeniti komponente svojih alata, smanjujući učinkovitost tradicionalnih metoda atribucije koje se oslanjaju na stabilne tehničke pokazatelje i ponavljajuće artefakte zlonamjernog softvera.

Operativne slabosti otkrivaju razvojne nedostatke

Unatoč koristima od razvoja potpomognutog umjetnom inteligencijom, GREYVIBE je pokazao višestruke nedostatke u operativnoj sigurnosti. Istraživači su identificirali nedostatke u dizajnu unutar LegionRelaya koji su nenamjerno otkrili funkcionalnost pozadinskog sustava, pružajući uvid u unutarnje operacije zlonamjernog softvera.

Takve su pogreške općenito neuobičajene među visoko sofisticiranim akterima koje sponzorira država, što sugerira da GREYVIBE možda ne predstavlja tradicionalnu obavještajnu operaciju. Umjesto toga, čini se da grupa posjeduje nisku do umjerenu tehničku sofisticiranost, a istovremeno koristi tehnologije umjetne inteligencije kako bi poboljšala sposobnosti iznad svoje inherentne razine vještina.

Pokazatelji povezanosti s kibernetičkim kriminalom

Višestruki nalazi ukazuju na to da GREYVIBE održava veze sa širim ruskim ekosustavom kibernetičkog kriminala:

  • Pristup ili korištenje uslužnog programa za izgradnju ISO datoteka povezanog s sumnjivim vezama s bandom TrickBot i UAC-0098.
  • Detekcija varijanti PhantomRelay unutar naizgled nepovezanih kibernetičkih kriminalnih kampanja, uključujući operacije glasovnog krađe identiteta putem Microsoft Teamsa provedene između srpnja 2025. i veljače 2026. te kampanje dostave putem KongTukea promatrane između veljače i ožujka 2026. koje su koristile tehnike ClickFixa.
  • Prijenosi uzoraka ranog razvoja i testiranja.
  • Korištenje neformalnog internetskog slenga poput 'letsrollboyos', 'totallyunsus' i 'cuteuwu' u konvencijama imenovanja razvojnih artefakata.
  • Implementacija XMRig rudara kriptovaluta na ograničenom broju sustava zaraženih LegionRelay virusom.

Ovi pokazatelji podupiru procjenu umjerenog povjerenja da GREYVIBE ima značajne veze s kibernetičkim kriminalnim mrežama i procjenu niskog do umjerenog povjerenja da neki članovi trenutno mogu biti ili su prije bili uključeni u aktivnosti kibernetičkog kriminala.

Zamagljivanje granice između državnih i kriminalnih operacija

Točna priroda odnosa GREYVIBE-a s ruskom državom ostaje neizvjesna. Postoji nekoliko mogućnosti, uključujući integraciju kibernetičkog kriminalnog osoblja u državnu organizaciju, neovisne operatere koji obavljaju državne zadatke ili formiranje hibridne strukture koja kombinira kriminalne i državne elemente.

Kao rezultat toga, GREYVIBE zauzima složen prostor između tradicionalnog kibernetičkog kriminala i kibernetičkih operacija povezanih s vladom. Ovo preklapanje komplicira napore pripisivanja i naglašava sve nejasnije granice između financijski motiviranih kibernetičkih kriminalnih aktivnosti i državno sponzoriranih obavještajnih operacija.

U trendu

Nagledanije

Učitavam...