AGEWHEEZE RAT
Kiberdrošības analītiķi ir atklājuši mērķtiecīgu pikšķerēšanas operāciju, kurā apdraudējumu dalībnieki uzdevās par Ukrainas datorapdraudējumu reaģēšanas vienību, lai izplatītu attālās administrēšanas rīku, kas pazīstams kā AGEWHEEZE. Kampaņa, kas tiek piedēvēta grupai UAC-0255, balstījās uz maldinošiem e-pastiem, kas tika nosūtīti 2026. gada 26. un 27. martā, aicinot adresātus instalēt to, kas tika raksturots kā "specializēta programmatūra".
Šajos e-pastos bija saites uz ar paroli aizsargātu ZIP arhīvu, kas tika mitināts vietnē Files.fm. Arhīvs ar nosaukumu CERT_UA_protection_tool.zip tika pasniegts kā likumīga drošības utilīta, taču tā vietā tas piegādāja ļaunprātīgu slodzi. Daži ziņojumi nāca no viltotas adreses “incidents@cert-ua.tech”, vēl vairāk pastiprinot autentiskuma ilūziju.
Satura rādītājs
Mērķa profils un uzbrukuma sasniedzamība
Operācija izvērsa plašu tīklu, mērķējot uz dažādām organizācijām, kas ir kritiski svarīgas valsts infrastruktūrai un sabiedriskajiem pakalpojumiem. To skaitā bija:
- Valdība un valsts iestādes
- Medicīnas un veselības aprūpes iestādes
- Ar drošību un aizsardzību saistīti uzņēmumi
- Izglītības organizācijas
- Finanšu iestādes
- Programmatūras izstrādes uzņēmumi
Neskatoties uz plašo mērķauditorijas atlases stratēģiju, kampaņas kopējā efektivitāte šķiet ierobežota. Tika apstiprināts tikai neliels skaits inficēšanās gadījumu, kas galvenokārt skāra izglītības iestāžu darbinieku personīgās ierīces.
AGEWHEEZE iekšienē: Spējas un noturības mehānismi
AGEWHEEZE ir uz Go bāzes veidots attālās piekļuves Trojas zirgs, kas izstrādāts plašai sistēmas kontrolei un uzraudzībai. Pēc izvietošanas tas izveido saziņu ar komandu un vadības serveri adresē 54.36.237.92, izmantojot WebSocket protokolus.
Ļaunprogrammatūra ļauj uzbrucējiem veikt plašu ļaunprātīgu darbību spektru, tostarp:
- Patvaļīgu komandu izpilde un sistēmas procesu pārvaldība
- Failu operāciju veikšana un saglabāto datu apstrāde
- Ekrānuzņēmumu uzņemšana un lietotāju aktivitāšu uzraudzība
- Peles un tastatūras ievades emulēšana
- Starpliktuves satura maiņa
Šī funkciju kombinācija padara AGEWHEEZE par daudzpusīgu rīku spiegošanas, sānu pārvietošanās un ilgtermiņa sistēmas kompromitēšanas nolūkos.
Maldinoša infrastruktūra un mākslīgā intelekta atbalstīta izgatavošana
Krāpnieciskā domēna “cert-ua.tech” izmeklēšana atklāja automatizētas vai mākslīgā intelekta atbalstītas izstrādes pazīmes. Tīmekļa vietnes HTML pirmkodā bija ievērojams komentārs krievu valodā: “С Любовью, КИБЕР СЕРП” (“Ar mīlestību, CYBER SERP”), kas liecināja par saistību ar grupu, kas sevi dēvē par Cyber Serp.
“Cyber Serp” savā “Telegram” kanālā, kas tika izveidots 2025. gada novembrī un kuram ir vairāk nekā 700 abonentu, ir apgalvojis par saistību ar Ukrainas kiberpagrīdes aprindām. Grupa publiski apgalvoja, ka pikšķerēšanas kampaņa bija vērsta pret līdz pat miljonu e-pasta kontu un tās rezultātā tika apdraudētas vairāk nekā 200 000 ierīču, un šis skaitlis ievērojami pārsniedz neatkarīgo novērtējumu sniegtos datus.
Pretrunīgi apgalvojumi un plašāka draudu aktivitāte
Cyber Serp ir mēģinājis sevi pozicionēt kā selektīvu dalībnieku, apgalvojot, ka tā darbības neietekmēs parastos pilsoņus. Tomēr šādi apgalvojumi ir pretrunā ar liela mēroga pikšķerēšanas kampaņu neselektīvo raksturu.
Atsevišķā incidentā grupa uzņēmās atbildību par Cipher datu noplūdi, apgalvojot, ka tai ir piekļuve servera datiem, klientu datubāzēm un patentētam pirmkodam. Vēlāk Cipher apstiprināja ierobežotu kompromitāciju, kas saistīta ar darbinieka akreditācijas datiem, taču uzsvēra, ka:
- Galvenā infrastruktūra saglabāja drošību un darbību
- Skartajam kontam bija piekļuve tikai vienam, nesensitīvam projektam.
Šī neatbilstība izceļ izplatītu taktiku starp apdraudējumu izraisītājiem — pārspīlēt ietekmi, lai pastiprinātu uztverto ietekmi un ticamību.
Novērtējums un drošības ietekme
Kampaņa demonstrē personības uzdošanās taktikas pastāvīgo efektivitāti, īpaši, ja tiek izmantotas uzticamas valsts kiberdrošības iestādes. Lai gan tūlītēja ietekme bija ierobežota, AGEWHEEZE tehniskā sarežģītība un izplatīšanas mēģinājumu apmērs liecina par pastāvīgu un mainīgu apdraudējumu ainavu.
Organizācijām ieteicams pastiprināt e-pasta verifikācijas procesus, rūpīgi pārbaudīt nevēlamus pielikumus un izglītot darbiniekus par to, kā atpazīt mēģinājumus uzdoties par citu personu, ja iesaistītas autoritatīvas iestādes.
