Скидка на мультилицензию
База данных угроз Инструменты удаленного администрирования AGEWHEEZE RAT

AGEWHEEZE RAT

К Mezo году в Инструменты удаленного администрирования, Расширенная постоянная угроза (APT) году
Перевести на:

Аналитики в области кибербезопасности обнаружили целенаправленную фишинговую операцию, в ходе которой злоумышленники, выдавая себя за Украинскую группу реагирования на компьютерные чрезвычайные ситуации, распространяли инструмент удаленного администрирования под названием AGEWHEEZE. Кампания, приписываемая группе UAC-0255, основывалась на вводящих в заблуждение электронных письмах, отправленных 26 и 27 марта 2026 года, в которых получателям предлагалось установить так называемое «специализированное программное обеспечение».

В этих электронных письмах содержались ссылки на защищенный паролем ZIP-архив, размещенный на Files.fm. Архив, названный CERT_UA_protection_tool.zip, был представлен как легитимная утилита безопасности, но на самом деле содержал вредоносные программы. Некоторые сообщения были отправлены с поддельного адреса 'incidents@cert-ua.tech', что еще больше усиливало иллюзию подлинности.

Профиль цели и дальность атаки

Операция охватила широкий круг организаций, имеющих решающее значение для национальной инфраструктуры и государственных служб. В их число вошли:

  • Правительство и государственные учреждения
  • Медицинские и лечебные учреждения
  • Компании, связанные с безопасностью и обороной
  • Образовательные организации
  • Финансовые учреждения
  • фирмы, занимающиеся разработкой программного обеспечения

Несмотря на широкую целевую стратегию, общая эффективность кампании представляется ограниченной. Было подтверждено лишь небольшое количество случаев заражения, в основном затронувших личные устройства сотрудников образовательных учреждений.

Внутри AGEWHEEZE: возможности и механизмы обеспечения устойчивости

AGEWHEEZE — это троянская программа удаленного доступа на языке Go, разработанная для масштабного управления системой и слежки. После развертывания она устанавливает связь с сервером управления по адресу 54.36.237.92, используя протокол WebSocket.

Вредоносное ПО позволяет злоумышленникам совершать широкий спектр противоправных действий, в том числе:

  • Выполнение произвольных команд и управление системными процессами.
  • Выполнение файловых операций и манипулирование хранимыми данными.
  • Создание скриншотов и мониторинг активности пользователей.
  • Эмуляция ввода с мыши и клавиатуры
  • Изменение содержимого буфера обмена
  • Обеспечение постоянного сохранения состояния с помощью запланированных задач, изменений в реестре Windows или размещения в каталоге автозагрузки.

    • Благодаря такому сочетанию функций AGEWHEEZE является универсальным инструментом для шпионажа, горизонтального перемещения и долговременного взлома системы.

    Обманчивая инфраструктура и производство с использованием ИИ

    Расследование в отношении мошеннического домена cert-ua.tech выявило признаки автоматизированной или разработанной с помощью ИИ разработки. В исходном HTML-коде сайта содержался примечательный комментарий на русском языке: «С любовью, КИБЕР СЕРП», что указывало на принадлежность к группе, называющей себя Cyber Serp.

    Группа Cyber Serp заявила о своей связи с украинскими кибер-подпольными кругами через свой Telegram-канал, созданный в ноябре 2025 года и насчитывающий более 700 подписчиков. Группа публично заявила, что фишинговая кампания была нацелена на миллион учетных записей электронной почты и привела к взлому более 200 000 устройств, что значительно превышает независимые оценки.

    Противоречивые утверждения и более масштабная угроза

    Компания Cyber Serp пытается позиционировать себя как избирательного игрока, утверждая, что ее операции не затронут обычных граждан. Однако подобные заявления противоречат неизбирательному характеру крупномасштабных фишинговых кампаний.

    В другом инциденте группа взяла на себя ответственность за взлом Cipher, заявив о получении доступа к данным сервера, базам данных клиентов и проприетарному исходному коду. Позже Cipher подтвердила ограниченный взлом, затронувший учетные данные сотрудника, но подчеркнула, что:

    • Основная инфраструктура оставалась защищенной и работоспособной.
    • У затронутого аккаунта был доступ только к одному неконфиденциальному проекту.

    Это несоответствие подчеркивает распространенную тактику среди злоумышленников: преувеличение последствий для усиления воспринимаемого влияния и доверия.

    Оценка и последствия для безопасности

    Эта кампания демонстрирует сохраняющуюся эффективность тактики выдачи себя за другое лицо, особенно при использовании авторитетных национальных организаций по кибербезопасности. Хотя непосредственные последствия были локализованы, техническая сложность AGEWHEEZE и масштаб попыток распространения свидетельствуют о сохраняющейся и меняющейся угрозе.

    Организациям рекомендуется усилить процессы проверки электронной почты, тщательно проверять незапрошенные вложения и обучать персонал распознаванию попыток выдачи себя за представителей авторитетных учреждений.

    В тренде

    Вредоносное ПО GlassWorm

    Вредоносное ПО, Расширенная постоянная угроза (APT)
    Новая волна вредоносной программы GlassWorm активно нацелена на цепочки поставок программного обеспечения, используя украденные токены GitHub для внедрения вредоносного кода в сотни репозиториев....

    Наиболее просматриваемые

    Загрузка...