Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Advanced Persistent Threat (APT) GREYVIBE fenyegető színész

GREYVIBE fenyegető színész

Mezo -ra Advanced Persistent Threat (APT), Malware-ben
Fordítás ide:

Egy korábban azonosítatlan, GREYVIBE néven ismert fenyegető szereplőt legalább 2025 augusztusa óta összefüggésbe hoztak egy Ukrajnát és az országhoz kötődő szervezeteket célzó folyamatos kiberkémkedési kampánnyal. Az elemzések azt sugallják, hogy a csoport elsősorban az orosz időzónában működik és oroszul kommunikál. Tevékenysége szorosan összhangban van az orosz állam érdekeivel, különösen a folyamatban lévő orosz-ukrán konfliktussal kapcsolatos hírszerzési erőfeszítésekkel.

A GREYVIBE számos szektort célzott meg, beleértve a katonai intézményeket, kormányzati ügynökségeket, civil szervezeteket és magánvállalkozásokat. Míg a csoport működése a nemzetállami tevékenységre jellemző jellemzőket mutat, a bizonyítékok a tágabb orosz kiberbűnözési környezettel való kapcsolatokra is utalnak a jelenlegi vagy korábbi kiberbűnözői szerepvállalásnak vélt személyeken keresztül.

Különböző fertőzési módszerek és egyedi kártevő-arzenál

A fenyegető szereplő különféle kézbesítési mechanizmusokat alkalmaz az áldozatok kompromittálására. Ezek közé tartoznak a magasan célzott adathalász kampányok, a megtévesztő CAPTCHA ellenőrző oldalak és a csalárd ukrán témájú felnőtt szórakoztató weboldalak. Működése során a GREYVIBE következetesen belső fejlesztésű rosszindulatú programokra, betöltőkre és obfuszkáló eszközökre támaszkodik az észlelés elkerülése és a feltört rendszerekhez való hozzáférés fenntartása érdekében.

Több különböző támadási keretrendszert figyeltek meg:

  • A PhantomMail rosszindulatú ZIP és RAR archívumokat terjeszt adathalász e-mailekben, amelyek a Google Drive-on és a 4sync-en tárolt linkeket tartalmaznak. Ezek az archívumok JavaScript betöltőket tartalmaznak, amelyek csali dokumentumokat indítanak el, miközben telepítik a PhantomRelay-t, egy PowerShell-alapú távoli hozzáférésű trójai vírust (RAT), amely képes a rendszer felderítésére és távoli parancsok végrehajtására.
  • A PhantomClick ClickFix-stílusú, hamis CAPTCHA oldalakat használ, amelyeket olyan szolgáltatásokat utánzó domaineken tárolnak, mint a Zoom és a LAPAS. Az áldozatokat manipulálják, hogy olyan parancsokat hajtsanak végre, amelyek beindítják a PhantomRelay fertőzési láncot.
  • A PrincessClub hamis ukrán felnőttklub weboldalakat használ a FallSpy kémprogramok Android eszközökön, valamint a PhantomRelayV1 vagy a LegionRelay terjesztésére Windows rendszereken. Ezen weboldalak későbbi verziói WebRTC-alapú élőhívás-funkciót is tartalmaztak az áldozatok hang- és videofelvételeinek rögzítésére. A FallSpy képes érzékeny információkat gyűjteni a fertőzött Android eszközökről, míg a LegionRelay támogatja a fájlok felderítését, az adatlopást, a képernyőképek készítését, a böngésző hitelesítő adatainak kinyerését, a Telegram és WhatsApp adatgyűjtést, valamint a Remote Desktop Protocol (RDP) konfigurációját. A PhantomRelayV1 kibővíti az eredeti PhantomRelay-t egy egyéni watchdog-megőrző mechanizmus hozzáadásával.
  • A DroneLink az ukrán fegyveres erőket támogató jótékonysági szervezetnek adja ki magát, és a LegionRelay mellett szállítja a WireGuardot is.
  • A Nebo egy orosz nyelvű bejelentkezési portálnak álcázott FallSpy variánst telepít, amelynek célja valószínűleg az ukrán katonai személyzet megtévesztésére szolgál, elhitetve velük, hogy egy legitim orosz katonai rendszerhez férnek hozzá.

A mesterséges intelligencia mint erőszorzó

A GREYVIBE működésének egyik legfigyelemreméltóbb aspektusa a generatív mesterséges intelligenciára és a nagy nyelvi modellekre való támaszkodás a támadó képességek fokozása érdekében. A bizonyítékok arra utalnak, hogy a csoport olyan platformokat használt, mint az Ideogram AI, az OpenAI ChatGPT és a Google Gemini, hogy segítsenek a képfájlok generálásában, a rosszindulatú programok fejlesztésében, a szkriptek obfuszkálásában, a háttérinfrastruktúra létrehozásában és a kompromittálás utáni műveletekben.

Ez a mesterséges intelligencia által támogatott megközelítés számos működési előnnyel jár. Segít kompenzálni a technikai készségek hiányosságait, felgyorsítja a fejlesztési ciklusokat, és csökkenti a korábban azonosított kártevőcsaládoktól és eszközöktől való függőséget, amelyek elősegíthetik a hiba azonosítását.

A mesterséges intelligencia egyre növekvő használata a kibernetikus műveletekben jelentős kihívást jelent a védők számára. A fenyegetések elkövetői gyorsan generálhatnak, módosíthatnak vagy lecserélhetnek eszközkészleteik összetevőit, csökkentve a hagyományos, stabil technikai indikátorokon és ismétlődő rosszindulatú szoftveres műtermékeken alapuló attribúciós módszerek hatékonyságát.

A működési gyengeségek feltárják a fejlesztési hiányosságokat

Annak ellenére, hogy a GREYVIBE mesterséges intelligenciával támogatott fejlesztésnek volt köszönhető, számos működési biztonsági hiányosságot mutatott ki. A kutatók olyan tervezési hibákat azonosítottak a LegionRelay-en belül, amelyek akaratlanul is felfedték a háttérrendszer működését, betekintést nyújtva a rosszindulatú program belső működésébe.

Az ilyen hibák általában ritkák a magasan kifinomult, államilag támogatott szereplők körében, ami arra utal, hogy a GREYVIBE nem feltétlenül egy hagyományos hírszerző szolgálati műveletet képvisel. Ehelyett úgy tűnik, hogy a csoport alacsony vagy közepes technikai kifinomultsággal rendelkezik, miközben mesterséges intelligencia technológiákat használ a képességeinek bővítésére a saját képességeiken túl.

Kiberbűnözői kapcsolatokra utaló mutatók

Több megállapítás is arra utal, hogy a GREYVIBE kapcsolatban áll a tágabb orosz kiberbűnözési ökoszisztémával:

  • Hozzáférés egy ISO-épületépítő közműhöz vagy annak használata, amely gyaníthatóan a TrickBot bandához és az UAC-0098-hoz kötődik.
  • PhantomRelay variánsok észlelése látszólag egymással nem összefüggő kiberbűnözői kampányokban, beleértve a 2025 júliusa és 2026 februárja között végrehajtott Microsoft Teams hangalapú adathalász műveleteket és a 2026 februárja és márciusa között megfigyelt, ClickFix technikákat alkalmazó KongTuke kézbesítési kampányokat.
  • Korai fázisú fejlesztési és tesztelési minták feltöltése.
  • Informális internetes szleng használata, mint például a „letsrollboyos”, a „totallyunsus” és a „cuteuwu” a fejlesztési elemek elnevezési konvencióiban.
  • Az XMRig kriptovaluta-bányász telepítése korlátozott számú, LegionRelay-lel fertőzött rendszeren.

Ezek a mutatók alátámasztják azt a mérsékelt megbízhatósági értékelést, hogy a GREYVIBE érdemi kapcsolatban áll kiberbűnözői hálózatokkal, valamint egy alacsony vagy közepes megbízhatósági értékelést, miszerint egyes tagjai jelenleg is részt vehetnek vagy korábban részt vehettek kiberbűnözésben.

Az állami és a bűnügyi műveletek közötti határvonal elmosása

A GREYVIBE és az orosz állam közötti kapcsolat pontos jellege továbbra sem egyértelmű. Számos lehetőség merül fel, beleértve a kiberbűnözői személyzet integrálását egy államilag támogatott szervezetbe, független szereplők államilag irányított feladatokat hajtanak végre, vagy egy hibrid struktúra létrehozását, amely bűnözői és állami elemeket ötvöz.

Ennek eredményeként a GREYVIBE összetett teret foglal el a hagyományos kiberbűnözés és a kormányhoz köthető kiberműveletek között. Ez az átfedés bonyolítja a beazonosítási erőfeszítéseket, és rávilágít az egyre elmosódó határokra a pénzügyi indíttatású kiberbűnözői tevékenység és az államilag támogatott hírszerzési műveletek között.

Felkapott

LinkedIn együttműködési e-mailes átverés

Adathalászat, Spam
A LinkedIn Collaboration átverés mögött álló kiberbűnözők egy látszólag professzionális üzleti megkereséssel próbálják megcsalni a címzetteket. Az e-mailek állítólag egy „Jonathan Spriggs” nevű vevőtől származnak a Storex Trading Ltd.-től, aki állítólag a LinkedInen keresztül fedezte fel a címzettet, és egy nagy, 12 000 egységből álló termékrendelésről szeretne beszélni. Hogy az üzenet...

A Microsoft Outlook e-mail kliense elavult – E-mail...

Adathalászat, Spam
Az „A Microsoft Outlook e-mail kliense elavult” típusú e-mailek adathalász üzenetek, amelyeket úgy szerkesztettek, hogy a Microsoft Outlook hivatalos biztonsági értesítéseinek tűnjenek. Az e-mailek figyelmeztetik a címzetteket, hogy e-mail kliensük állítólag elavult, és azt állítják, hogy a frissítés azonnali elmulasztása az e-mailek, névjegyek, naptárak, megbeszélések és más fontos fiókadatok...

Legnézettebb

Betöltés...