Oferta rabatowa na wiele licencji
Baza danych zagrożeń Narzędzia do zdalnej administracji AGEWHEEZE RAT

AGEWHEEZE RAT

Do Mezo w Narzędzia do zdalnej administracji, Zaawansowane trwałe zagrożenie (APT)
Przetłumacz na:

Analitycy ds. cyberbezpieczeństwa odkryli ukierunkowaną operację phishingu, w której cyberprzestępcy podszywali się pod ukraiński Zespół Reagowania na Kryzysy Komputerowe (CAT) w celu dystrybucji narzędzia do zdalnej administracji znanego jako AGEWHEEZE. Kampania, przypisywana grupie UAC-0255, opierała się na oszukańczych wiadomościach e-mail wysłanych 26 i 27 marca 2026 roku, nakłaniających odbiorców do zainstalowania oprogramowania określanego jako „specjalistyczne”.

E-maile zawierały linki do chronionego hasłem archiwum ZIP, hostowanego w serwisie Files.fm. Archiwum o nazwie CERT_UA_protection_tool.zip, przedstawiane jako legalne narzędzie bezpieczeństwa, zawierało w rzeczywistości szkodliwe oprogramowanie. Niektóre wiadomości pochodziły z podszywającego się adresu „incidents@cert-ua.tech”, co dodatkowo wzmacniało iluzję autentyczności.

Profil celu i zasięg ataku

Operacja objęła szeroki zakres działań, wymierzonych w różnorodne organizacje o kluczowym znaczeniu dla infrastruktury narodowej i usług publicznych. Należały do nich:

  • Rząd i instytucje państwowe
  • Placówki medyczne i opieki zdrowotnej
  • Firmy z branży bezpieczeństwa i obronności
  • Organizacje edukacyjne
  • Instytucje finansowe
  • Firmy zajmujące się tworzeniem oprogramowania

Pomimo szerokiej strategii ukierunkowania, ogólna skuteczność kampanii wydaje się ograniczona. Potwierdzono jedynie niewielką liczbę infekcji, głównie na urządzeniach osobistych pracowników placówek edukacyjnych.

Wewnątrz AGEWHEEZE: Możliwości i mechanizmy trwałości

AGEWHEEZE to trojan zdalnego dostępu oparty na technologii Go, zaprojektowany do rozległej kontroli i nadzoru nad systemem. Po wdrożeniu nawiązuje komunikację z serwerem dowodzenia i kontroli pod adresem 54.36.237.92, korzystając z protokołów WebSocket.

Szkodliwe oprogramowanie umożliwia atakującym wykonywanie szerokiego spektrum złośliwych działań, w tym:

  • Wykonywanie dowolnych poleceń i zarządzanie procesami systemowymi
  • Wykonywanie operacji na plikach i manipulowanie przechowywanymi danymi
  • Przechwytywanie zrzutów ekranu i monitorowanie aktywności użytkowników
  • Emulacja wprowadzania danych za pomocą myszy i klawiatury
  • Zmiana zawartości schowka
  • Utrzymywanie trwałości za pomocą zaplanowanych zadań, modyfikacji rejestru systemu Windows lub rozmieszczenia katalogu startowego

Dzięki takiemu połączeniu funkcji AGEWHEEZE jest wszechstronnym narzędziem służącym do szpiegostwa, przemieszczania się między systemami i długoterminowego naruszania ich bezpieczeństwa.

Oszukańcza infrastruktura i produkcja wspomagana sztuczną inteligencją

Dochodzenie w sprawie fałszywej domeny „cert-ua.tech” ujawniło oznaki zautomatyzowanego lub wspomaganego sztuczną inteligencją rozwoju. Kod źródłowy HTML strony zawierał znaczący komentarz w języku rosyjskim: „С Любовью, КИБЕР СЕРП” („Z miłością, CYBER SERP”), sugerujący powiązanie z grupą o nazwie Cyber Serp.

Cyber Serp przyznał się do powiązań z ukraińskim cyberpodziemiami za pośrednictwem swojego kanału w Telegramie, który powstał w listopadzie 2025 roku i zgromadził ponad 700 subskrybentów. Grupa publicznie oświadczyła, że kampania phishingowa objęła nawet milion kont e-mail i doprowadziła do przejęcia ponad 200 000 urządzeń – liczby te znacznie przekraczają niezależne szacunki.

Sprzeczne roszczenia i szersza działalność zagrażająca

Cyber Serp próbował kreować się na selektywnego gracza, twierdząc, że jego działania nie będą miały wpływu na zwykłych obywateli. Jednak takie stwierdzenia są sprzeczne z bezkrytycznym charakterem kampanii phishingowych na dużą skalę.

W oddzielnym incydencie grupa przyznała się do naruszenia bezpieczeństwa Cipher, twierdząc, że uzyskała dostęp do danych serwera, baz danych klientów i zastrzeżonego kodu źródłowego. Cipher potwierdził później, że doszło do ograniczonego naruszenia bezpieczeństwa, obejmującego dane uwierzytelniające pracownika, ale podkreślił, że:

  • Główna infrastruktura pozostała bezpieczna i operacyjna
  • Dotknięte konto miało dostęp tylko do jednego, niepoufnego projektu

Ta rozbieżność uwypukla powszechną taktykę wśród podmiotów stwarzających zagrożenie, polegającą na wyolbrzymianiu wpływu w celu zwiększenia postrzeganego wpływu i wiarygodności.

Ocena i implikacje dla bezpieczeństwa

Kampania dowodzi ciągłej skuteczności taktyk podszywania się pod inne osoby, szczególnie w przypadku wykorzystywania zaufanych krajowych podmiotów zajmujących się cyberbezpieczeństwem. Choć bezpośrednie skutki zostały ograniczone, zaawansowanie techniczne AGEWHEEZE i skala prób dystrybucji wskazują na utrzymujący się i ewoluujący krajobraz zagrożeń.

Organizacjom zaleca się wzmocnienie procesów weryfikacji wiadomości e-mail, dokładne sprawdzanie niechcianych załączników i szkolenie personelu w zakresie rozpoznawania prób podszywania się pod instytucje publiczne.

Popularne

Najczęściej oglądane

Ładowanie...