Oferta rabatowa na wiele licencji
Baza danych zagrożeń Zaawansowane trwałe zagrożenie (APT) Aktor zagrożenia GREYVIBE

Aktor zagrożenia GREYVIBE

Do Mezo w Zaawansowane trwałe zagrożenie (APT), Złośliwe oprogramowanie
Przetłumacz na:

Niezidentyfikowany wcześniej podmiot zagrażający, znany jako GREYVIBE, jest powiązany z trwającą od co najmniej sierpnia 2025 roku kampanią cyberszpiegostwa wymierzoną w Ukrainę i organizacje z nią powiązane. Analiza sugeruje, że grupa działa głównie w rosyjskiej strefie czasowej i komunikuje się po rosyjsku. Jej działania są ściśle powiązane z interesami państwa rosyjskiego, w szczególności z działaniami wywiadowczymi związanymi z trwającym konfliktem rosyjsko-ukraińskim.

GREYVIBE obiera sobie za cel szeroki wachlarz sektorów, w tym instytucje wojskowe, agencje rządowe, organizacje cywilne i firmy prywatne. Chociaż działania grupy wykazują cechy charakterystyczne dla działalności państwowej, dowody wskazują również na powiązania z szerszym rosyjskim krajobrazem cyberprzestępczości za pośrednictwem osób uważanych za obecnych lub byłych cyberprzestępców.

Różnorodne metody infekcji i niestandardowy arsenał złośliwego oprogramowania

Atakujący wykorzystuje różnorodne mechanizmy dystrybucji, aby atakować ofiary. Należą do nich wysoce ukierunkowane kampanie spear phishingowe, oszukańcze strony weryfikacji CAPTCHA oraz fałszywe strony z rozrywką dla dorosłych o tematyce ukraińskiej. W swojej działalności GREYVIBE konsekwentnie wykorzystuje wewnętrznie opracowane złośliwe oprogramowanie, loadery i narzędzia zaciemniające, aby uniknąć wykrycia i utrzymać dostęp do zainfekowanych systemów.

Zaobserwowano kilka odrębnych struktur ataków:

  • PhantomMail dystrybuuje złośliwe archiwa ZIP i RAR za pośrednictwem wiadomości e-mail typu spear phishing zawierających linki hostowane na Dysku Google i 4sync. Archiwa te zawierają programy ładujące JavaScript, które uruchamiają fałszywe dokumenty podczas wdrażania PhantomRelay, trojana zdalnego dostępu (RAT) opartego na programie PowerShell, zdolnego do rozpoznania systemu i zdalnego wykonywania poleceń.
  • PhantomClick wykorzystuje fałszywe strony CAPTCHA w stylu ClickFix, hostowane w domenach podszywających się pod usługi takie jak Zoom i LAPAS. Ofiary są manipulowane, aby wykonywały polecenia, które uruchamiają łańcuch infekcji PhantomRelay.
  • PrincessClub wykorzystuje fałszywe ukraińskie strony internetowe klubów dla dorosłych do dystrybucji oprogramowania szpiegującego FallSpy na urządzeniach z systemem Android oraz PhantomRelay V1 lub LegionRelay na systemach Windows. Późniejsze wersje tych stron internetowych zawierały funkcję połączeń na żywo opartą na WebRTC, umożliwiającą przechwytywanie dźwięku i obrazu ofiar. FallSpy może zbierać poufne informacje z zainfekowanych urządzeń z systemem Android, podczas gdy LegionRelay obsługuje wykrywanie plików, kradzież danych, wykonywanie zrzutów ekranu, ekstrakcję danych uwierzytelniających przeglądarki, gromadzenie danych z Telegramu i WhatsApp oraz konfigurację protokołu RDP (Remote Desktop Protocol). PhantomRelay V1 rozszerza pierwotną wersję PhantomRelay, dodając niestandardowy mechanizm watchdog persist.
  • DroneLink podszywa się pod organizację charytatywną wspierającą Siły Zbrojne Ukrainy i dostarcza WireGuard wraz z LegionRelay.
  • Nebo wdraża wersję FallSpy, która podszywa się pod rosyjskojęzyczny portal logowania. Jej celem jest najprawdopodobniej wprowadzenie ukraińskich żołnierzy w błąd i wzbudzenie u nich przekonania, że uzyskują dostęp do legalnego rosyjskiego systemu wojskowego.

Sztuczna inteligencja jako mnożnik siły

Jednym z najbardziej znaczących aspektów działalności GREYVIBE jest wyraźne wykorzystanie generatywnej sztucznej inteligencji i rozbudowanych modeli językowych w celu zwiększenia możliwości ofensywnych. Dowody wskazują, że grupa korzystała z platform takich jak Ideogram AI, OpenAI ChatGPT i Google Gemini, aby wspomagać generowanie obrazów, tworzenie złośliwego oprogramowania, zaciemnianie skryptów, tworzenie infrastruktury zaplecza i działania po ataku hakerskim.

To podejście wspomagane sztuczną inteligencją oferuje szereg korzyści operacyjnych. Pomaga kompensować braki w umiejętnościach technicznych, przyspiesza cykle rozwoju i zmniejsza zależność od wcześniej zidentyfikowanych rodzin złośliwego oprogramowania i narzędzi, które mogłyby ułatwić atrybucję.

Coraz powszechniejsze wykorzystanie sztucznej inteligencji w cyberoperacjach stanowi poważne wyzwanie dla obrońców. Aktorzy zagrożeń mogą szybko generować, modyfikować lub zastępować komponenty swoich zestawów narzędzi, zmniejszając skuteczność tradycyjnych metod atrybucji, które opierają się na stabilnych wskaźnikach technicznych i powtarzających się artefaktach złośliwego oprogramowania.

Słabości operacyjne ujawniają luki rozwojowe

Pomimo wykorzystania sztucznej inteligencji w procesie rozwoju, GREYVIBE wykazał liczne braki w zakresie bezpieczeństwa operacyjnego. Badacze zidentyfikowali błędy projektowe w LegionRelay, które nieumyślnie ujawniły funkcjonalność zaplecza, umożliwiając wgląd w wewnętrzne działanie złośliwego oprogramowania.

Takie błędy są na ogół rzadkie wśród wysoce zaawansowanych podmiotów sponsorowanych przez państwo, co sugeruje, że GREYVIBE może nie być typową operacją wywiadowczą. Grupa wydaje się raczej posiadać niski lub średni poziom zaawansowania technicznego, wykorzystując jednocześnie technologie sztucznej inteligencji do rozszerzania swoich możliwości poza ich wrodzony poziom umiejętności.

Wskaźniki połączeń cyberprzestępczych

Wiele ustaleń wskazuje na to, że GREYVIBE utrzymuje powiązania z szerszym ekosystemem rosyjskiej cyberprzestępczości:

  • Dostęp lub korzystanie z narzędzia do tworzenia ISO, które ma podejrzenie powiązań z gangiem TrickBot i UAC-0098.
  • Wykrycie wariantów PhantomRelay w ramach pozornie niezwiązanych ze sobą kampanii cyberprzestępczych, w tym operacji phishingu głosowego Microsoft Teams przeprowadzonych między lipcem 2025 r. a lutym 2026 r. oraz kampanii dostawczych KongTuke obserwowanych między lutym a marcem 2026 r., w których wykorzystano techniki ClickFix.
  • Przesyłanie próbek z wczesnej fazy rozwoju i testów.
  • Stosowanie nieformalnego slangu internetowego, takiego jak „letsrollboyos”, „totallyunsus” i „cuteuwu” w konwencjach nazewnictwa artefaktów rozwojowych.
  • Wdrożenie koparki kryptowaluty XMRig na ograniczonej liczbie systemów zainfekowanych LegionRelay.

Wskaźniki te potwierdzają ocenę z umiarkowanym prawdopodobieństwem, że GREYVIBE ma istotne powiązania z sieciami cyberprzestępczymi, oraz ocenę z niskim lub średnim prawdopodobieństwem, że niektórzy członkowie mogą być lub byli zaangażowani w działalność cyberprzestępczą.

Zacieranie granicy między działalnością państwa a działalnością przestępczą

Dokładny charakter relacji GREYVIBE z państwem rosyjskim pozostaje niepewny. Istnieje kilka możliwości, w tym integracja personelu cyberprzestępców w ramach organizacji wspieranej przez państwo, niezależni operatorzy wykonujący zadania zlecone przez państwo lub utworzenie struktury hybrydowej łączącej elementy przestępcze i powiązane z państwem.

W rezultacie GREYVIBE zajmuje złożoną pozycję pomiędzy tradycyjną cyberprzestępczością a cyberoperacjami powiązanymi z rządem. To nakładanie się komplikuje działania mające na celu ustalenie atrybucji i uwypukla coraz bardziej zatarte granice między cyberprzestępczością motywowaną finansowo a operacjami wywiadowczymi sponsorowanymi przez państwo.

Popularne

Oszustwo związane z e-mailami do współpracy na LinkedIn

Phishing, Spam
Cyberprzestępcy stojący za oszustwem LinkedIn Collaboration próbują zwabić odbiorców, przedstawiając im coś, co wygląda na profesjonalne zapytanie biznesowe. E-maile rzekomo pochodzą od kupującego o nazwisku „Jonathan Spriggs” z firmy Storex Trading Ltd., który rzekomo odkrył odbiorcę za pośrednictwem LinkedIn i chce omówić duże zamówienie na 12 000 sztuk. Aby wiadomość wydawała się...

Najczęściej oglądane

Ładowanie...