Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Nuotolinio administravimo įrankiai AGEWHEEZE RAT

AGEWHEEZE RAT

Autorius Mezo, Nuotolinio administravimo įrankiai, Išplėstinė nuolatinė grėsmė (APT)
Versti į:

Kibernetinio saugumo analitikai atskleidė tikslinę sukčiavimo operaciją, kurios metu kibernetinio saugumo veikėjai apsimetė Ukrainos kompiuterinių incidentų reagavimo komanda, kad platintų nuotolinio administravimo įrankį, vadinamą AGEWHEEZE. Kampanija, priskiriama grupei UAC-0255, buvo paremta apgaulingais el. laiškais, išsiųstais 2026 m. kovo 26 ir 27 d., raginančiais gavėjus įdiegti vadinamąją „specializuotą programinę įrangą“.

Šiuose el. laiškuose buvo nuorodos į slaptažodžiu apsaugotą ZIP archyvą, esantį „Files.fm“ svetainėje. Archyvas, pavadintas CERT_UA_protection_tool.zip, buvo pateiktas kaip teisėta saugos programa, tačiau iš tikrųjų siuntė kenkėjišką informaciją. Kai kurie pranešimai buvo siunčiami iš netikro adreso „incidents@cert-ua.tech“, o tai dar labiau sustiprino autentiškumo iliuziją.

Taikinio profilis ir atakos pasiekiamumas

Operacija plačiai apėmė įvairias organizacijas, kurios yra labai svarbios nacionalinei infrastruktūrai ir viešosioms paslaugoms. Tarp jų buvo:

  • Vyriausybės ir valstybės institucijos
  • Medicinos ir sveikatos priežiūros įstaigos
  • Su saugumu ir gynyba susijusios įmonės
  • Švietimo organizacijos
  • Finansų įstaigos
  • Programinės įrangos kūrimo įmonės

Nepaisant plačios tikslinės strategijos, bendras kampanijos veiksmingumas atrodo ribotas. Patvirtinta tik nedaug užsikrėtimo atvejų, daugiausia susijusių su švietimo įstaigų darbuotojų asmeniniais įrenginiais.

AGEWHEEZE viduje: gebėjimai ir išlikimo mechanizmai

„AGEWHEEZE“ yra „Go“ pagrindu sukurtas nuotolinės prieigos Trojos arklys, sukurtas išsamiam sistemos valdymui ir stebėjimui. Įdiegus, jis užmezga ryšį su komandų ir valdymo serveriu, esančiu adresu 54.36.237.92, naudodamas „WebSocket“ protokolus.

Kenkėjiška programa leidžia užpuolikams atlikti platų kenkėjiškų veiksmų spektrą, įskaitant:

  • Savavališkų komandų vykdymas ir sistemos procesų valdymas
  • Failų operacijų atlikimas ir saugomų duomenų tvarkymas
  • Ekrano kopijų darymas ir naudotojų veiklos stebėjimas
  • Pelės ir klaviatūros įvesčių emuliavimas
  • Mainų lapo turinio keitimas
  • Palaikyti nuoseklumą atliekant suplanuotas užduotis, modifikuojant „Windows“ registrą arba talpinant paleisties katalogą

Šis funkcijų derinys paverčia „AGEWHEEZE“ universaliu įrankiu šnipinėjimui, šoniniam judėjimui ir ilgalaikiam sistemos užgrobimui.

Apgaulinga infrastruktūra ir dirbtinio intelekto pagalba sukurta produkcija

Tyrimas dėl sukčiavimo domeno „cert-ua.tech“ atskleidė automatizuoto arba dirbtinio intelekto padedamo kūrimo požymių. Svetainės HTML šaltinio kode buvo pastebimas komentaras rusų kalba: „С Любовью, КИБЕР СЕРП“ („Su meile, KIBERPASLAUGOS“), leidžiantis manyti, kad svetainė priklauso grupei, pasivadinusiai „Kiberpaieškos žinutėmis“.

„Cyber Serp“ per savo „Telegram“ kanalą, kuris buvo įkurtas 2025 m. lapkritį ir sukaupė daugiau nei 700 prenumeratorių, teigė esanti susijusi su Ukrainos kibernetinio pogrindžio sluoksniais. Grupė viešai pareiškė, kad sukčiavimo kampanija buvo nukreipta prieš iki milijono el. pašto paskyrų ir nutekino daugiau nei 200 000 įrenginių – šie skaičiai gerokai viršija nepriklausomus vertinimus.

Prieštaringi teiginiai ir platesnio masto grėsmės veikla

„Cyber Serp“ bandė save pozicionuoti kaip selektyvų veikėją, teigdama, kad paprasti piliečiai nenukentės dėl jos veiklos. Tačiau tokie teiginiai neatitinka nekritiško didelio masto sukčiavimo kampanijų pobūdžio.

Atskiro incidento metu grupė prisiėmė atsakomybę už „Cipher“ saugumo pažeidimą, teigdama, kad turėjo prieigą prie serverio duomenų, klientų duomenų bazių ir patentuoto šaltinio kodo. Vėliau „Cipher“ patvirtino ribotą kompromitaciją, susijusią su darbuotojo kredencialais, tačiau pabrėžė, kad:

  • Pagrindinė infrastruktūra išliko saugi ir veikianti
  • Paveikta paskyra turėjo prieigą tik prie vieno, neskelbtino projekto.

Šis neatitikimas išryškina įprastą grėsmių kėlėjų taktiką – perdėti poveikį, siekiant sustiprinti tariamą įtaką ir patikimumą.

Vertinimas ir saugumo pasekmės

Kampanija rodo, kad apsimetinėjimo taktika, ypač pasitelkiant patikimus nacionalinius kibernetinio saugumo subjektus, ir toliau yra veiksminga. Nors tiesioginis poveikis buvo nedidelis, AGEWHEEZE techninis sudėtingumas ir bandymų platinti mastas rodo nuolatinį ir besikeičiantį grėsmių kraštovaizdį.

Organizacijoms patariama sustiprinti el. pašto adresų tikrinimo procesus, atidžiai tikrinti nepageidaujamus priedus ir šviesti darbuotojus, kaip atpažinti bandymus apsimesti kitu asmeniu, susijusią su autoritetingomis institucijomis.

Tendencijos

Labiausiai žiūrima

Įkeliama...