Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Távoli adminisztrációs eszközök AGEWHEEZE RAT

AGEWHEEZE RAT

Mezo -ra Távoli adminisztrációs eszközök, Advanced Persistent Threat (APT)-ben
Fordítás ide:

Kiberbiztonsági elemzők lelepleztek egy célzott adathalász műveletet, amelyben a fenyegető szereplők az Ukrán Számítógépes Vészhelyzeti Elhárító Csoportnak adták ki magukat, hogy egy AGEWHEEZE nevű távoli adminisztrációs eszközt terjesszenek. Az UAC-0255 csoporthoz köthető kampány megtévesztő e-mailekre épült, amelyeket 2026. március 26-án és 27-én küldtek, és arra sürgették a címzetteket, hogy telepítsenek egy úgynevezett „specializált szoftvert”.

Ezek az e-mailek egy jelszóval védett, a Files.fm-en tárolt ZIP archívumra mutató linkeket tartalmaztak. A CERT_UA_protection_tool.zip nevű archívumot legitim biztonsági segédprogramként mutatták be, ehelyett azonban rosszindulatú fájlokat szállított. Néhány üzenet a hamis „incidents@cert-ua.tech” címről származott, ami tovább erősítette a hitelesség illúzióját.

Célpontprofil és támadási hatótávolság

A művelet széles hálót vetett be, a nemzeti infrastruktúra és a közszolgáltatások szempontjából kritikus fontosságú szervezetek széles skáláját célozva meg. Ezek közé tartoztak:

  • Kormányzati és állami intézmények
  • Orvosi és egészségügyi intézmények
  • Biztonsággal és védelemmel kapcsolatos vállalatok
  • Oktatási szervezetek
  • Pénzintézetek
  • Szoftverfejlesztő cégek

A széleskörű célzási stratégia ellenére a kampány összességében korlátozottnak tűnik. Csak kis számú fertőzést erősítettek meg, amelyek elsősorban az oktatási intézmények alkalmazottainak személyes eszközeit érintették.

Az AGEWHEEZE belsejében: Képességek és fennmaradási mechanizmusok

Az AGEWHEEZE egy Go-alapú távoli hozzáférésű trójai, amelyet kiterjedt rendszervezérlésre és -megfigyelésre terveztek. Telepítés után WebSocket protokollok segítségével kommunikál egy parancs- és vezérlőkiszolgálóval az 54.36.237.92 címen.

A rosszindulatú program lehetővé teszi a támadók számára, hogy széles körű rosszindulatú tevékenységeket hajtsanak végre, beleértve:

  • Tetszőleges parancsok végrehajtása és rendszerfolyamatok kezelése
  • Fájlműveletek végrehajtása és a tárolt adatok kezelése
  • Képernyőképek készítése és felhasználói aktivitás figyelése
  • Egér- és billentyűzetbemenetek emulálása
  • A vágólap tartalmának módosítása
  • Az adatmegőrzés ütemezett feladatok, a Windows rendszerleíró adatbázis módosításai vagy az indítókönyvtár elhelyezése révén

Ezen funkciók kombinációja teszi az AGEWHEEZE-t sokoldalú eszközzé a kémkedéshez, az oldalirányú mozgáshoz és a hosszú távú rendszerfeltöréshez.

Megtévesztő infrastruktúra és mesterséges intelligencia által támogatott gyártás

A csalárd „cert-ua.tech” domainnel kapcsolatos vizsgálat automatizált vagy mesterséges intelligencia által támogatott fejlesztésre utaló jeleket tárt fel. A weboldal HTML forráskódja egy figyelemre méltó orosz nyelvű megjegyzést tartalmazott: „С Любовью, КИБЕР СЕРП” („Szeretettel, CYBER SERP”), amely egy magát Cyber Serpnek nevező csoporthoz köthető.

A Cyber Serp a Telegram csatornáján keresztül – amelyet 2025 novemberében hoztak létre, és több mint 700 feliratkozót gyűjtött össze – azt állította, hogy kapcsolatban áll az ukrán kiberföldalatti körökkel. A csoport nyilvánosan azt állította, hogy az adathalász kampány akár egymillió e-mail fiókot is célba vett, és több mint 200 000 feltört eszközt eredményezett, ami jelentősen meghaladja a független értékelések eredményeit.

Ellentmondó állítások és szélesebb körű fenyegetési tevékenység

A Cyber Serp megpróbálta szelektív szereplőként pozicionálni magát, azt állítva, hogy a hétköznapi polgárokat nem érintené a működése. Az ilyen kijelentések azonban ellentmondanak a nagyszabású adathalász kampányok válogatás nélküli jellegének.

Egy külön incidensben a csoport vállalta a felelősséget a Cipher feltöréséért, azt állítva, hogy hozzáfértek szerveradatokhoz, kliens adatbázisokhoz és saját forráskódhoz. A Cipher később megerősítette a munkavállaló hitelesítő adatait érintő korlátozott mértékű feltörést, de hangsúlyozta, hogy:

  • Az alapvető infrastruktúra továbbra is biztonságos és működőképes maradt
  • Az érintett fiók csak egyetlen, nem bizalmas projekthez férhetett hozzá.

Ez az eltérés rávilágít a fenyegetés szereplői között elterjedt taktikára, amely a hatás eltúlzásával erősíti a vélt befolyást és hitelességet.

Értékelés és biztonsági vonatkozások

A kampány a személyazonossággal való visszaélés taktikájának folyamatos hatékonyságát bizonyítja, különösen megbízható nemzeti kiberbiztonsági szervezetek bevonása esetén. Bár az azonnali hatás korlátozott volt, az AGEWHEEZE technikai kifinomultsága és a terjesztési kísérletek mértéke egy állandó és folyamatosan változó fenyegetési környezetet jelez.

A szervezeteknek azt tanácsolják, hogy erősítsék meg az e-mail-ellenőrzési folyamatokat, vizsgálják meg a kéretlen mellékleteket, és oktassák a személyzetet a hiteles intézményeket érintő személyes adatokkal való visszaélési kísérletek felismerésére.

Felkapott

Legnézettebb

Betöltés...