Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman Ancaman Berterusan Lanjutan (APT) Pelakon Ancaman GREYVIBE

Pelakon Ancaman GREYVIBE

Menjelang Mezo pada Ancaman Berterusan Lanjutan (APT), perisian hasad
Terjemahkan ke

Seorang pelaku ancaman yang sebelum ini tidak dikenali yang dikenali sebagai GREYVIBE telah dikaitkan dengan kempen pengintipan siber berterusan yang menyasarkan Ukraine dan organisasi yang berkaitan dengan negara itu sekurang-kurangnya sejak Ogos 2025. Analisis menunjukkan kumpulan itu beroperasi terutamanya dalam zon waktu Rusia dan berkomunikasi dalam bahasa Rusia. Aktivitinya berkait rapat dengan kepentingan negara Rusia, terutamanya usaha pengumpulan risikan yang berkaitan dengan konflik Rusia-Ukraine yang sedang berlaku.

GREYVIBE telah menyasarkan pelbagai sektor, termasuk institusi ketenteraan, agensi kerajaan, organisasi awam dan perniagaan swasta. Walaupun operasi kumpulan itu memaparkan ciri-ciri yang berkaitan dengan aktiviti negara-bangsa, bukti juga menunjukkan hubungan dengan landskap jenayah siber Rusia yang lebih luas melalui individu yang dipercayai sebagai pelaku jenayah siber semasa atau bekas.

Kaedah Jangkitan Pelbagai dan Arsenal Perisian Hasad Tersuai

Pelaku ancaman menggunakan pelbagai mekanisme penyampaian untuk menjejaskan mangsa. Ini termasuk kempen spear-phishing yang disasarkan secara khusus, halaman pengesahan CAPTCHA yang mengelirukan dan laman web hiburan dewasa bertemakan Ukraine yang palsu. Merentasi operasinya, GREYVIBE secara konsisten bergantung pada perisian hasad, pemuat dan alat pengaburan yang dibangunkan secara dalaman untuk mengelak pengesanan dan mengekalkan akses kepada sistem yang diceroboh.

Beberapa rangka kerja serangan yang berbeza telah diperhatikan:

  • PhantomMail mengedarkan arkib ZIP dan RAR yang berniat jahat melalui e-mel spear-phishing yang mengandungi pautan yang dihoskan pada Google Drive dan 4sync. Arkib ini termasuk pemuat JavaScript yang melancarkan dokumen decoy sambil menggunakan PhantomRelay, trojan akses jauh (RAT) berasaskan PowerShell yang mampu meninjau sistem dan melaksanakan arahan jauh.
  • PhantomClick memanfaatkan halaman CAPTCHA palsu ala ClickFix yang dihoskan pada domain yang menyamar sebagai perkhidmatan seperti Zoom dan LAPAS. Mangsa dimanipulasi untuk melaksanakan arahan yang mencetuskan rantaian jangkitan PhantomRelay.
  • PrincessClub menggunakan laman web kelab dewasa Ukraine palsu untuk mengedarkan perisian intip FallSpy pada peranti Android dan sama ada PhantomRelayV1 atau LegionRelay pada sistem Windows. Versi terkini laman web ini menggabungkan fungsi panggilan langsung berasaskan WebRTC untuk merakam audio dan video mangsa. FallSpy mampu mengumpul maklumat sensitif daripada peranti Android yang dijangkiti, manakala LegionRelay menyokong penemuan fail, kecurian data, tangkapan skrin, pengekstrakan kelayakan pelayar, pengumpulan data Telegram dan WhatsApp serta konfigurasi Protokol Desktop Jauh (RDP). PhantomRelayV1 mengembangkan PhantomRelay asal dengan menambah mekanisme kegigihan pengawas tersuai.
  • DroneLink menyamar sebagai organisasi amal yang menyokong Angkatan Tentera Ukraine dan menyediakan WireGuard bersama LegionRelay.
  • Nebo menggunakan varian FallSpy yang menyamar sebagai portal log masuk berbahasa Rusia, kemungkinan besar bertujuan untuk memperdaya anggota tentera Ukraine agar mempercayai bahawa mereka sedang mengakses sistem ketenteraan Rusia yang sah.

Kecerdasan Buatan sebagai Pengganda Daya

Salah satu aspek operasi GREYVIBE yang paling ketara ialah pergantungannya yang ketara pada kecerdasan buatan generatif dan model bahasa yang besar untuk meningkatkan keupayaan serangan. Bukti menunjukkan kumpulan itu telah menggunakan platform seperti Ideogram AI, OpenAI ChatGPT dan Google Gemini untuk membantu penjanaan imej, pembangunan perisian hasad, pengeliruan skrip, penciptaan infrastruktur bahagian belakang dan operasi pasca-kompromi.

Pendekatan berbantukan AI ini menawarkan beberapa kelebihan operasi. Ia membantu mengimbangi jurang kemahiran teknikal, mempercepatkan kitaran pembangunan dan mengurangkan pergantungan pada keluarga perisian hasad yang dikenal pasti sebelum ini dan alatan yang boleh memudahkan atribusi.

Penggunaan AI yang semakin meningkat dalam operasi siber memberikan cabaran yang ketara kepada pihak pembela. Pelakon ancaman boleh menjana, mengubah suai atau menggantikan komponen set alat mereka dengan pantas, sekali gus mengurangkan keberkesanan kaedah atribusi tradisional yang bergantung pada penunjuk teknikal yang stabil dan artifak perisian hasad yang berulang.

Kelemahan Operasi Mendedahkan Jurang Pembangunan

Walaupun mendapat manfaat daripada pembangunan berbantukan AI, GREYVIBE telah menunjukkan pelbagai kekurangan keselamatan operasi. Penyelidik mengenal pasti kelemahan reka bentuk dalam LegionRelay yang secara tidak sengaja mendedahkan fungsi bahagian belakang, memberikan pandangan tentang operasi dalaman perisian hasad.

Kesilapan sedemikian biasanya jarang berlaku di kalangan pelakon tajaan kerajaan yang sangat sofistikated, menunjukkan bahawa GREYVIBE mungkin tidak mewakili operasi perkhidmatan perisikan tradisional. Sebaliknya, kumpulan itu nampaknya mempunyai kecanggihan teknikal yang rendah hingga sederhana sambil memanfaatkan teknologi AI untuk meningkatkan keupayaan melangkaui tahap kemahiran sedia ada.

Petunjuk Sambungan Jenayah Siber

Pelbagai penemuan menunjukkan bahawa GREYVIBE mengekalkan hubungan dengan ekosistem jenayah siber Rusia yang lebih luas:

  • Akses kepada atau penggunaan utiliti pembinaan ISO yang berkaitan dengan disyaki kaitan dengan geng TrickBot dan UAC-0098.
  • Pengesanan varian PhantomRelay dalam kempen penjenayah siber yang nampaknya tidak berkaitan, termasuk operasi pancingan data suara Microsoft Teams yang dijalankan antara Julai 2025 dan Februari 2026 dan kempen penghantaran KongTuke yang diperhatikan antara Februari dan Mac 2026 yang menggunakan teknik ClickFix.
  • Muat naik sampel pembangunan dan pengujian peringkat awal.
  • Penggunaan slanga internet tidak formal seperti 'letsrollboyos,' 'totalyunsus,' dan 'cuteuwu' dalam konvensyen penamaan artifak pembangunan.
  • Penggunaan pelombong mata wang kripto XMRig pada bilangan sistem terhad yang dijangkiti LegionRelay.

Petunjuk ini menyokong penilaian keyakinan sederhana bahawa GREYVIBE mempunyai hubungan yang bermakna dengan rangkaian jenayah siber dan penilaian keyakinan rendah hingga sederhana bahawa sesetengah ahli mungkin sedang atau sebelum ini terlibat dalam aktiviti jenayah siber.

Mengaburkan Garisan Antara Operasi Negeri dan Jenayah

Sifat tepat hubungan GREYVIBE dengan negara Rusia masih belum dapat dipastikan. Terdapat beberapa kemungkinan, termasuk penyepaduan kakitangan penjenayah siber ke dalam organisasi yang disokong oleh negara, pengendali bebas yang menjalankan tugas yang diarahkan oleh negara, atau pembentukan struktur hibrid yang menggabungkan elemen jenayah dan gabungan negara.

Akibatnya, GREYVIBE menduduki ruang yang kompleks antara jenayah siber tradisional dan operasi siber berkaitan kerajaan. Pertindihan ini merumitkan usaha atribusi dan menonjolkan sempadan yang semakin kabur antara aktiviti jenayah siber yang bermotivasi kewangan dan operasi perisikan yang ditaja oleh kerajaan.

Trending

Paling banyak dilihat

Memuatkan...