Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Instrumente de administrare la distanță ȘOBOLAN AGEWHEEZE

ȘOBOLAN AGEWHEEZE

Până în Mezo în Instrumente de administrare la distanță, Amenințare persistentă avansată (APT)
Tradu in:

Analiștii în domeniul securității cibernetice au descoperit o operațiune de phishing țintită în care actorii vulnerabili s-au dat drept membri ai Echipa de Intervenție în Cazuri de Urgență Informatică din Ucraina pentru a distribui un instrument de administrare la distanță cunoscut sub numele de AGEWHEEZE. Campania, atribuită grupului UAC-0255, s-a bazat pe e-mailuri înșelătoare trimise pe 26 și 27 martie 2026, îndemnând destinatarii să instaleze ceea ce a fost descris ca „software specializat”.

Aceste e-mailuri conțineau linkuri către o arhivă ZIP protejată prin parolă, găzduită pe Files.fm. Arhiva, numită CERT_UA_protection_tool.zip, era prezentată ca un utilitar de securitate legitim, dar în schimb livra informații dăunătoare. Unele mesaje proveneau de la adresa falsă „incidents@cert-ua.tech”, întărind și mai mult iluzia autenticității.

Profilul țintei și raza de acțiune a atacului

Operațiunea a avut o arie largă de acțiune, vizând o gamă diversă de organizații esențiale pentru infrastructura națională și serviciile publice. Printre acestea s-au numărat:

  • Instituții guvernamentale și de stat
  • Unități medicale și de asistență medicală
  • Companii legate de securitate și apărare
  • Organizații educaționale
  • Instituții financiare
  • Firme de dezvoltare software

În ciuda strategiei largi de direcționare, eficacitatea generală a campaniei pare limitată. Au fost confirmate doar un număr mic de infecții, afectând în principal dispozitivele personale ale angajaților din cadrul instituțiilor de învățământ.

În interiorul AGEWHEEZE: Capacități și mecanisme de persistență

AGEWHEEZE este un troian de acces la distanță bazat pe Go, conceput pentru control și supraveghere extinsă a sistemului. Odată implementat, acesta stabilește comunicarea cu un server de comandă și control la adresa 54.36.237.92 folosind protocoalele WebSocket.

Malware-ul permite atacatorilor să desfășoare o gamă largă de activități rău intenționate, inclusiv:

  • Executarea comenzilor arbitrare și gestionarea proceselor de sistem
  • Efectuarea operațiunilor cu fișierele și manipularea datelor stocate
  • Capturarea capturilor de ecran și monitorizarea activității utilizatorilor
  • Emularea intrărilor de la mouse și tastatură
  • Modificarea conținutului clipboardului
  • Menținerea persistenței prin activități programate, modificări ale Registrului Windows sau plasarea directorului de pornire

Această combinație de caracteristici face din AGEWHEEZE un instrument versatil pentru spionaj, mișcare laterală și compromiterea sistemului pe termen lung.

Infrastructură înșelătoare și fabricație asistată de inteligență artificială

Investigația asupra domeniului fraudulos „cert-ua.tech” a relevat indicii ale dezvoltării automate sau asistate de inteligență artificială. Codul sursă HTML al site-ului web conținea un comentariu notabil în limba rusă: „С Любовью, КИБЕР СЕРП” („Cu dragoste, CYBER SERP”), sugerând atribuirea unui grup care se autointitulează Cyber Serp.

Cyber Serp a revendicat afilierea cu cercuri cibernetice subterane ucrainene prin intermediul canalului său Telegram, înființat în noiembrie 2025 și care are peste 700 de abonați. Grupul a afirmat public că această campanie de phishing a vizat până la un milion de conturi de e-mail și a dus la compromiterea a peste 200.000 de dispozitive, cifre care depășesc semnificativ evaluările independente.

Afirmații contradictorii și activitate de amenințare mai amplă

Cyber Serp a încercat să se poziționeze ca un actor selectiv, susținând că cetățenii obișnuiți nu vor fi afectați de operațiunile sale. Cu toate acestea, astfel de declarații sunt incompatibile cu natura nediscriminatorie a campaniilor de phishing la scară largă.

Într-un incident separat, grupul a revendicat responsabilitatea pentru încălcarea securității Cipher, susținând că a avut acces la datele serverului, la bazele de date ale clienților și la codul sursă proprietar. Cipher a confirmat ulterior o compromitere limitată care a implicat acreditările unui angajat, dar a subliniat că:

  • Infrastructura de bază a rămas sigură și operațională
  • Contul afectat a avut acces doar la un singur proiect, nesensibil.

Această discrepanță evidențiază o tactică comună în rândul actorilor amenințători, exagerarea impactului pentru a amplifica influența și credibilitatea percepute.

Implicații privind evaluarea și securitatea

Campania demonstrează eficacitatea continuă a tacticilor de uzurpare a identității, în special atunci când se utilizează entități naționale de securitate cibernetică de încredere. Deși impactul imediat a fost limitat, sofisticarea tehnică a AGEWHEEZE și amploarea tentativelor de distribuire semnalează un peisaj al amenințărilor persistent și în continuă evoluție.

Organizațiilor li se recomandă să consolideze procesele de verificare a e-mailurilor, să examineze cu atenție atașamentele nesolicitate și să educe personalul cu privire la recunoașterea tentativelor de uzurpare a identității care implică instituții autorizate.

Trending

Cele mai văzute

Se încarcă...