Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Išplėstinė nuolatinė grėsmė (APT) GREYVIBE grėsmės aktorius

GREYVIBE grėsmės aktorius

Autorius Mezo, Išplėstinė nuolatinė grėsmė (APT), Kenkėjiška programa
Versti į:

Anksčiau nenustatytas grėsmės veikėjas, žinomas kaip GREYVIBE, buvo siejamas su nuolatine kibernetinio šnipinėjimo kampanija, nukreipta prieš Ukrainą ir su šalimi susijusias organizacijas, bent nuo 2025 m. rugpjūčio mėn. Analizė rodo, kad grupuotė daugiausia veikia Rusijos laiko juostoje ir bendrauja rusų kalba. Jos veikla glaudžiai susijusi su Rusijos valstybės interesais, ypač žvalgybos duomenų rinkimo pastangomis, susijusiomis su tebesitęsiančiu Rusijos ir Ukrainos konfliktu.

„GREYVIBE“ taikėsi į įvairius sektorius, įskaitant karines institucijas, vyriausybines agentūras, civilines organizacijas ir privačias įmones. Nors grupės veikla pasižymi su nacionalinės valstybės veikla susijusiais požymiais, įrodymai taip pat rodo ryšius su platesniu Rusijos kibernetinių nusikaltimų pasauliu per asmenis, kurie, kaip manoma, yra dabartiniai arba buvę kibernetinių nusikaltimų dalyviai.

Įvairūs užkrėtimo būdai ir pritaikytas kenkėjiškų programų arsenalas

Grėsmės vykdytojas naudoja įvairius mechanizmus aukoms užkrėsti. Tai apima itin tikslines sukčiavimo kampanijas, apgaulingus CAPTCHA patvirtinimo puslapius ir apgaulingas suaugusiųjų pramogų svetaines su ukrainietiška tema. Savo veikloje GREYVIBE nuolat naudoja viduje sukurtą kenkėjišką programinę įrangą, įkroviklius ir klaidinimo įrankius, kad išvengtų aptikimo ir išlaikytų prieigą prie pažeistų sistemų.

Pastebėtos kelios skirtingos atakų struktūros:

  • „PhantomMail“ platina kenkėjiškus ZIP ir RAR archyvus per tikslinius sukčiavimo el. laiškus su nuorodomis, talpinamomis „Google“ diske ir „4sync“. Šiuose archyvuose yra „JavaScript“ įkrovikliai, kurie paleidžia masalo dokumentus, diegdami „PhantomRelay“ – „PowerShell“ pagrindu veikiančią nuotolinės prieigos Trojos arklį (RAT), galintį žvalgyti sistemą ir nuotoliniu būdu vykdyti komandas.
  • „PhantomClick“ naudoja netikrus „ClickFix“ stiliaus CAPTCHA puslapius, talpinamus domenuose, apsimetinėjančiuose tokiomis paslaugomis kaip „Zoom“ ir LAPAS. Aukos manipuliuojamos, kad vykdytų komandas, kurios suaktyvina „PhantomRelay“ užkrato grandinę.
  • „PrincessClub“ naudoja padirbtas Ukrainos suaugusiųjų klubų svetaines, kad platintų „FallSpy“ šnipinėjimo programas „Android“ įrenginiuose ir „PhantomRelayV1“ arba „LegionRelay“ „Windows“ sistemose. Vėlesnėse šių svetainių versijose buvo įdiegta „WebRTC“ pagrindu veikianti tiesioginio skambučio funkcija, skirta aukų garsui ir vaizdui fiksuoti. „FallSpy“ gali rinkti jautrią informaciją iš užkrėstų „Android“ įrenginių, o „LegionRelay“ palaiko failų aptikimą, duomenų vagystę, ekrano kopijų darymą, naršyklės kredencialų išgavimą, „Telegram“ ir „WhatsApp“ duomenų rinkimą bei nuotolinio darbalaukio protokolo (RDP) konfigūravimą. „PhantomRelayV1“ išplečia originalų „PhantomRelay“, pridėdamas pasirinktinį stebėjimo mechanizmą.
  • „DroneLink“ apsimeta labdaros organizacijomis, remiančiomis Ukrainos ginkluotąsias pajėgas, ir kartu su „LegionRelay“ tiekia „WireGuard“.
  • „Nebo“ diegia „FallSpy“ variantą, užmaskuotą kaip rusų kalbos prisijungimo portalas, greičiausiai skirtą apgauti Ukrainos kariškius, priverčiant juos patikėti, kad jie jungiasi prie teisėtos Rusijos karinės sistemos.

Dirbtinis intelektas kaip jėgos daugiklis

Vienas ryškiausių „GREYVIBE“ veiklos aspektų yra akivaizdus jos pasitikėjimas generatyviniu dirbtiniu intelektu ir dideliais kalbų modeliais, siekiant sustiprinti puolimo pajėgumus. Įrodymai rodo, kad grupė naudojo tokias platformas kaip „Ideogram AI“, „OpenAI ChatGPT“ ir „Google Gemini“, kad padėtų generuoti vaizdus, kurti kenkėjiškas programas, maskuoti scenarijus, kurti vidinę infrastruktūrą ir atlikti operacijas po kompromitacijos.

Šis dirbtinio intelekto paremtas metodas suteikia keletą operacinių pranašumų. Jis padeda kompensuoti techninių įgūdžių spragas, pagreitina kūrimo ciklus ir sumažina priklausomybę nuo anksčiau nustatytų kenkėjiškų programų šeimų ir įrankių, kurie galėtų palengvinti priskyrimą.

Didėjantis dirbtinio intelekto naudojimas kibernetinėse operacijose kelia didelį iššūkį gynėjams. Grėsmių kūrėjai gali greitai generuoti, modifikuoti arba pakeisti savo įrankių rinkinių komponentus, taip sumažindami tradicinių priskyrimo metodų, kurie remiasi stabiliais techniniais rodikliais ir pasikartojančiais kenkėjiškų programų artefaktais, efektyvumą.

Veiklos trūkumai atskleidžia vystymosi spragas

Nepaisant dirbtinio intelekto pagalba kuriamų sprendimų, „GREYVIBE“ sistema atskleidė daug operacinio saugumo trūkumų. Tyrėjai nustatė „LegionRelay“ projektavimo trūkumų, kurie netyčia atskleidė serverio funkcijas ir suteikė įžvalgų apie kenkėjiškos programos vidines operacijas.

Tokios klaidos paprastai nėra retos tarp itin sudėtingų valstybės remiamų veikėjų, o tai rodo, kad GREYVIBE gali neatspindėti tradicinės žvalgybos tarnybos operacijos. Vietoj to, atrodo, kad grupė pasižymi žemu arba vidutiniu techniniu išprusimu ir naudoja dirbtinio intelekto technologijas, kad padidintų savo pajėgumus, viršijančius savo įgimtą įgūdžių lygį.

Kibernetinių nusikaltėlių ryšių rodikliai

Kelios išvados rodo, kad GREYVIBE palaiko ryšius su platesne Rusijos kibernetinių nusikaltimų ekosistema:

  • Prieiga prie ISO pastato komunalinės paslaugos, susijusios su įtariamais ryšiais su „TrickBot“ gauja ir UAC-0098, arba jos naudojimas.
  • „PhantomRelay“ variantų aptikimas iš pažiūros nesusijusiose kibernetinių nusikaltimų kampanijose, įskaitant „Microsoft Teams“ balso sukčiavimo operacijas, vykdytas nuo 2025 m. liepos mėn. iki 2026 m. vasario mėn., ir „KongTuke“ pristatymo kampanijas, stebėtas nuo 2026 m. vasario iki kovo mėn., kuriose buvo naudojamos „ClickFix“ technologijos.
  • Ankstyvosios stadijos kūrimo ir testavimo pavyzdžių įkėlimas.
  • Neoficialaus interneto slengo, pvz., „letsrollboyos“, „totallyunsus“ ir „cuteuwu“, vartojimas kūrimo artefaktų pavadinimų konvencijose.
  • „XMRig“ kriptovaliutų kasimo programos diegimas ribotame skaičiuje sistemų, užkrėstų „LegionRelay“.

Šie rodikliai patvirtina vidutinio pasitikėjimo vertinimą, kad GREYVIBE turi reikšmingų ryšių su kibernetinių nusikaltėlių tinklais, ir žemo arba vidutinio pasitikėjimo vertinimą, kad kai kurie nariai šiuo metu gali būti arba anksčiau buvo įsitraukę į kibernetinių nusikaltimų veiklą.

Ribos tarp valstybinių ir nusikalstamų operacijų panaikinimas

Tikslus GREYVIBE santykių su Rusijos valstybe pobūdis lieka neaiškus. Yra kelios galimybės, įskaitant kibernetinių nusikaltėlių personalo integravimą į valstybės remiamą organizaciją, nepriklausomus operatorius, vykdančius valstybės nurodytas užduotis, arba hibridinės struktūros, apjungiančios nusikalstamus ir su valstybe susijusius elementus, sukūrimą.

Dėl to GREYVIBE užima sudėtingą erdvę tarp tradicinių kibernetinių nusikaltimų ir su vyriausybe susijusių kibernetinių operacijų. Šis sutapimas apsunkina priskyrimo pastangas ir pabrėžia vis labiau neryškias ribas tarp finansiškai motyvuotos kibernetinės nusikalstamos veiklos ir valstybės remiamų žvalgybos operacijų.

Tendencijos

„LinkedIn“ bendradarbiavimo el. laiškų sukčiavimas

Sukčiavimas, Šlamštas
Kibernetiniai nusikaltėliai, slepiantys „LinkedIn Collaboration“ sukčiavimą, bando privilioti gavėjus, pateikdami užklausą, panašią į profesionalų verslo užklausą. El. laiškuose teigiama, kad juos atsiuntė pirkėjas, vardu Jonathanas Spriggsas iš „Storex Trading Ltd.“, kuris tariamai rado gavėją per „LinkedIn“ ir nori aptarti didelį 12 000 vienetų produktų užsakymą. Kad žinutė atrodytų...

Jūsų „Microsoft Outlook“ el. pašto klientas yra...

Sukčiavimas, Šlamštas
El. laiškai „Jūsų „Microsoft Outlook“ el. pašto programa pasenusi“ yra sukčiavimo žinutės, sukurtos taip, kad atrodytų kaip oficialūs „Microsoft Outlook“ saugos pranešimai. El. laiškuose gavėjai įspėjami, kad jų el. pašto programa tariamai pasenusi, ir teigiama, kad neatnaujinus jos nedelsiant, galima prarasti el. laiškus, kontaktus, kalendorius, susitikimus ir kitus svarbius paskyros duomenis....

Labiausiai žiūrima

Įkeliama...