Vairāku licenču atlaides piedāvājums
Draudu datu bāze Advanced Persistent Threat (APT) GREYVIBE Draudu Aktieris

GREYVIBE Draudu Aktieris

Līdz Mezo. gadam Advanced Persistent Threat (APT), Ļaunprātīga programmatūra. gadā
Tulkot uz:

Iepriekš neidentificēts apdraudējuma elements, kas pazīstams kā GREYVIBE, ir saistīts ar ilgstošu kiberizlūkošanas kampaņu, kas vērsta pret Ukrainu un ar šo valsti saistītām organizācijām vismaz kopš 2025. gada augusta. Analīze liecina, ka grupa galvenokārt darbojas Krievijas laika joslā un sazinās krievu valodā. Tās darbības cieši atbilst Krievijas valsts interesēm, jo īpaši izlūkdienestu datu vākšanas centieniem, kas saistīti ar notiekošo Krievijas un Ukrainas konfliktu.

GREYVIBE ir vērsies pret plašu nozaru loku, tostarp militārajām iestādēm, valdības aģentūrām, civilajām organizācijām un privātiem uzņēmumiem. Lai gan grupas darbībai ir raksturīgas ar nacionālas valsts darbību saistītas pazīmes, pierādījumi liecina arī par saistību ar plašāku Krievijas kibernoziedznieku vidi, izmantojot personas, kuras tiek uzskatītas par pašreizējiem vai bijušajiem kibernoziedzniekiem.

Dažādas inficēšanas metodes un pielāgots ļaunprogrammatūras arsenāls

Draudu izpildītājs izmanto dažādus piegādes mehānismus, lai kompromitētu upurus. Tie ietver ļoti mērķtiecīgas mērķpikšķerēšanas kampaņas, maldinošas CAPTCHA verifikācijas lapas un krāpnieciskas pieaugušo izklaides vietnes ar Ukrainas tematiku. Visā savā darbībā GREYVIBE pastāvīgi paļaujas uz iekšēji izstrādātu ļaunprogrammatūru, ielādētājiem un maskēšanas rīkiem, lai izvairītos no atklāšanas un saglabātu piekļuvi apdraudētajām sistēmām.

Ir novērotas vairākas atšķirīgas uzbrukuma struktūras:

  • PhantomMail izplata ļaunprātīgus ZIP un RAR arhīvus, izmantojot mērķtiecīgas pikšķerēšanas e-pastus, kas satur saites, kas tiek mitinātas pakalpojumā Google Drive un 4sync. Šie arhīvi ietver JavaScript ielādētājus, kas palaiž maldinošus dokumentus, vienlaikus izvietojot PhantomRelay — uz PowerShell balstītu attālās piekļuves Trojas zirgu (RAT), kas spēj veikt sistēmas izlūkošanu un attālinātu komandu izpildi.
  • PhantomClick izmanto ClickFix stila viltotas CAPTCHA lapas, kas tiek mitinātas domēnos, kuri uzdodas par tādiem pakalpojumiem kā Zoom un LAPAS. Cietušie tiek manipulēti, lai izpildītu komandas, kas aktivizē PhantomRelay infekcijas ķēdi.
  • PrincessClub izmanto viltotas Ukrainas pieaugušo klubu vietnes, lai izplatītu FallSpy spiegprogrammatūru Android ierīcēs un PhantomRelayV1 vai LegionRelay Windows sistēmās. Vēlākās šo vietņu versijās bija iekļauta WebRTC balstīta tiešraides zvanu funkcionalitāte, lai ierakstītu upuru audio un video. FallSpy spēj apkopot sensitīvu informāciju no inficētām Android ierīcēm, savukārt LegionRelay atbalsta failu atklāšanu, datu zādzības, ekrānuzņēmumu uzņemšanu, pārlūkprogrammas akreditācijas datu iegūšanu, Telegram un WhatsApp datu vākšanu, kā arī attālās darbvirsmas protokola (RDP) konfigurēšanu. PhantomRelayV1 paplašina sākotnējo PhantomRelay, pievienojot pielāgotu sargsuņa saglabāšanas mehānismu.
  • DroneLink maskējas kā labdarības organizācijas, kas atbalsta Ukrainas bruņotos spēkus, un kopā ar LegionRelay piegādā WireGuard.
  • Nebo izvieto FallSpy variantu, kas maskēts kā krievu valodas pieteikšanās portāls, visticamāk, paredzēts, lai maldinātu Ukrainas militārpersonas, liekot tām noticēt, ka tās piekļūst likumīgai Krievijas militārajai sistēmai.

Mākslīgais intelekts kā spēka reizinātājs

Viens no ievērojamākajiem GREYVIBE darbības aspektiem ir acīmredzamā paļaušanās uz ģeneratīvo mākslīgo intelektu un lieliem valodu modeļiem, lai uzlabotu ofensīvās spējas. Pierādījumi liecina, ka grupa ir izmantojusi tādas platformas kā Ideogram AI, OpenAI ChatGPT un Google Gemini, lai palīdzētu attēlu ģenerēšanā, ļaunprogrammatūras izstrādē, skriptu maskēšanā, aizmugures infrastruktūras izveidē un darbībās pēc kompromitēšanas.

Šī mākslīgā intelekta atbalstītā pieeja piedāvā vairākas darbības priekšrocības. Tā palīdz kompensēt tehnisko prasmju trūkumus, paātrina izstrādes ciklus un samazina atkarību no iepriekš identificētām ļaunprogrammatūru saimēm un rīkiem, kas varētu atvieglot attiecināšanu.

Arvien pieaugošā mākslīgā intelekta izmantošana kiberoperācijās rada ievērojamas problēmas aizstāvjiem. Draudu izpildītāji var ātri ģenerēt, modificēt vai aizstāt savu rīku komplektu komponentus, tādējādi samazinot tradicionālo attiecināšanas metožu efektivitāti, kas balstās uz stabiliem tehniskiem rādītājiem un atkārtotiem ļaunprogrammatūras artefaktiem.

Darbības trūkumi atklāj attīstības nepilnības

Neskatoties uz ieguvumiem no mākslīgā intelekta atbalstītas izstrādes, GREYVIBE ir pierādījis vairākus darbības drošības trūkumus. Pētnieki atklāja LegionRelay dizaina trūkumus, kas netīši atklāja aizmugursistēmas funkcionalitāti, sniedzot ieskatu ļaunprogrammatūras iekšējās darbībās.

Šādas kļūdas parasti nav sastopamas bieži starp ļoti sarežģītiem, valsts sponsorētiem dalībniekiem, kas liek domāt, ka GREYVIBE, iespējams, nepārstāv tradicionālu izlūkdienesta operāciju. Tā vietā grupai, šķiet, ir zems vai vidējs tehniskais sarežģītības līmenis, vienlaikus izmantojot mākslīgā intelekta tehnoloģijas, lai uzlabotu spējas, kas pārsniedz tās dabisko prasmju līmeni.

Kibernoziedznieku savienojumu indikatori

Vairāki atklājumi liecina, ka GREYVIBE uztur saikni ar plašāku Krievijas kibernoziedzības ekosistēmu:

  • Piekļuve ISO ēku komunālajam pakalpojumam vai tā izmantošana, kas saistīts ar aizdomām par saistību ar TrickBot bandu un UAC-0098.
  • PhantomRelay variantu atklāšana šķietami nesaistītās kibernoziedznieku kampaņās, tostarp Microsoft Teams balss pikšķerēšanas operācijās, kas tika veiktas laikā no 2025. gada jūlija līdz 2026. gada februārim, un KongTuke piegādes kampaņās, kas tika novērotas laikā no 2026. gada februāra līdz martam un kurās tika izmantotas ClickFix metodes.
  • Agrīnās izstrādes stadijas un testēšanas paraugu augšupielādes.
  • Neformāla interneta slenga, piemēram, “letsrollboyos”, “totallyunsus” un “cuteuwu”, lietošana izstrādes artefaktu nosaukšanas konvencijās.
  • XMRig kriptovalūtas ieguves programmas izvietošana ierobežotā skaitā sistēmu, kas inficētas ar LegionRelay.

Šie rādītāji apstiprina vidējas ticamības novērtējumu, ka GREYVIBE ir nozīmīgas saites ar kibernoziedznieku tīkliem, un zemas līdz vidējas ticamības novērtējumu, ka daži dalībnieki pašlaik varētu būt vai iepriekš varētu būt iesaistīti kibernoziedzības darbībās.

Robežas sapludināšana starp valsts un kriminālām operācijām

Precīzs GREYVIBE attiecību raksturs ar Krievijas valsti joprojām nav skaidrs. Pastāv vairākas iespējas, tostarp kibernoziedznieku personāla integrācija valsts atbalstītā organizācijā, neatkarīgi operatori, kas veic valsts vadītus uzdevumus, vai hibrīda struktūras izveide, kas apvieno noziedzīgus un ar valsti saistītus elementus.

Tā rezultātā GREYVIBE ieņem sarežģītu telpu starp tradicionālo kibernoziedzību un ar valdību saistītām kiberoperācijām. Šī pārklāšanās sarežģī vainas noteikšanas centienus un izceļ arvien neskaidrākās robežas starp finansiāli motivētu kibernoziedznieku darbību un valsts sponsorētām izlūkošanas operācijām.

Tendences

LinkedIn sadarbības e-pasta krāpniecība

Pikšķerēšana, Mēstules
Kibernoziedznieki, kas stāv aiz LinkedIn Collaboration krāpniecības, mēģina pievilināt adresātus ar, šķiet, profesionālu biznesa pieprasījumu. E-pastos apgalvots, ka tie nāk no pircēja vārdā "Jonathan Spriggs" no Storex Trading Ltd., kurš it kā atklāja adresātu, izmantojot LinkedIn, un vēlas apspriest lielu produktu pasūtījumu, kurā iesaistītas 12 000 vienības. Lai ziņojums šķistu autentisks,...

Jūsu Microsoft Outlook e-pasta klients ir novecojis

Pikšķerēšana, Mēstules
E-pasti ar tekstu “Jūsu Microsoft Outlook e-pasta klients ir novecojis” ir pikšķerēšanas ziņojumi, kas izveidoti tā, lai izskatītos pēc oficiāliem Microsoft Outlook drošības paziņojumiem. E-pastos adresāti tiek brīdināti, ka viņu e-pasta klients it kā ir novecojis, un tiek apgalvots, ka, ja tas netiks nekavējoties atjaunināts, var tikt zaudēti e-pasti, kontaktpersonas, kalendāri, sanāksmes un...

Visvairāk skatīts

Notiek ielāde...