Multilicenčná zľavová ponuka
Databáza hrozieb Nástroje vzdialenej správy AGEWHEEZE RAT

AGEWHEEZE RAT

Do roku Mezo v roku Nástroje vzdialenej správy, Pokročilá perzistentná hrozba (APT)
Preložiť do:

Analytici kybernetickej bezpečnosti odhalili cielenú phishingovú operáciu, pri ktorej sa útočníci vydávali za Ukrajinský tím pre reakciu na počítačové núdzové situácie (Computer Emergency Response Team of Ukraine) a distribuovali nástroj na vzdialenú správu známy ako AGEWHEEZE. Kampaň pripisovaná skupine UAC-0255 sa opierala o klamlivé e-maily odoslané 26. a 27. marca 2026, ktoré nabádali príjemcov k inštalácii softvéru, ktorý bol opísaný ako „špecializovaný softvér“.

Tieto e-maily obsahovali odkazy na ZIP archív chránený heslom, ktorý bol umiestnený na Files.fm. Archív s názvom CERT_UA_protection_tool.zip bol prezentovaný ako legitímny bezpečnostný nástroj, ale namiesto toho doručoval škodlivé dáta. Niektoré správy pochádzali z falošnej adresy „incidents@cert-ua.tech“, čo ešte viac posilňovalo ilúziu autenticity.

Profil cieľa a dosah útoku

Operácia mala široký dosah a zamerala sa na rozmanité spektrum organizácií, ktoré sú kľúčové pre národnú infraštruktúru a verejné služby. Medzi ne patrili:

  • Vláda a štátne inštitúcie
  • Zdravotnícke a zdravotnícke zariadenia
  • Spoločnosti súvisiace s bezpečnosťou a obranou
  • Vzdelávacie organizácie
  • Finančné inštitúcie
  • Firmy zaoberajúce sa vývojom softvéru

Napriek širokej stratégii zacielenia sa celková účinnosť kampane javí ako obmedzená. Potvrdil sa len malý počet infekcií, ktoré postihli predovšetkým osobné zariadenia zamestnancov vo vzdelávacích inštitúciách.

Vnútri AGEWHEEZE: Schopnosti a mechanizmy perzistencie

AGEWHEEZE je trójsky kôň pre vzdialený prístup založený na jazyku Go, navrhnutý pre rozsiahlu kontrolu a dohľad nad systémom. Po nasadení nadviaže komunikáciu so serverom velenia a riadenia na adrese 54.36.237.92 pomocou protokolov WebSocket.

Škodlivý softvér umožňuje útočníkom vykonávať široké spektrum škodlivých aktivít vrátane:

  • Vykonávanie ľubovoľných príkazov a správa systémových procesov
  • Vykonávanie operácií so súbormi a manipulácia s uloženými údajmi
  • Zachytávanie snímok obrazovky a monitorovanie aktivity používateľov
  • Emulácia vstupov myši a klávesnice
  • Zmena obsahu schránky
  • Udržiavanie perzistencie prostredníctvom naplánovaných úloh, úprav registra systému Windows alebo umiestnenia pri spustení do priečinka

    • Táto kombinácia funkcií robí z AGEWHEEZE všestranný nástroj na špionáž, laterálny pohyb a dlhodobé ohrozenie systému.

    Klamlivá infraštruktúra a výroba s pomocou umelej inteligencie

    Vyšetrovanie podvodnej domény „cert-ua.tech“ odhalilo známky automatizovaného alebo umelou inteligenciou asistovaného vývoja. Zdrojový kód HTML webovej stránky obsahoval pozoruhodný komentár v ruštine: „С Ľúbov'ю, КИБЕР СЕРП“ („S láskou, CYBER SERP“), čo naznačuje pripísanie skupine, ktorá si hovorí Cyber Serp.

    CyberSerp sa prostredníctvom svojho telegramového kanála, ktorý bol založený v novembri 2025 a má viac ako 700 odberateľov, prihlásil k spojitosti s ukrajinskými kybernetickými podzemiami. Skupina verejne tvrdila, že phishingová kampaň zacielila až milión e-mailových účtov a viedla k napadnutiu viac ako 200 000 zariadení, čo výrazne prevyšuje nezávislé odhady.

    Protichodné tvrdenia a širšia hrozba

    CyberSerp sa snažil prezentovať ako selektívny aktér a tvrdil, že bežní občania nebudú jeho operáciami ovplyvnení. Takéto vyhlásenia sú však v rozpore s nerozlišujúcou povahou rozsiahlych phishingových kampaní.

    V samostatnom incidente sa skupina prihlásila k zodpovednosti za narušenie bezpečnosti systému Cipher s odvolaním sa na prístup k údajom servera, klientskym databázam a proprietárnemu zdrojovému kódu. Cipher neskôr potvrdil obmedzené narušenie týkajúce sa prihlasovacích údajov zamestnanca, ale zdôraznil, že:

    • Základná infraštruktúra zostala bezpečná a funkčná
    • Dotknutý účet mal prístup iba k jednému, necitlivému projektu

    Tento rozpor poukazuje na spoločnú taktiku aktérov ohrozenia, ktorí zveličujú dopad s cieľom zosilniť vnímaný vplyv a dôveryhodnosť.

    Dôsledky hodnotenia a bezpečnosti

    Kampaň demonštruje pretrvávajúcu účinnosť taktík vydávania sa za inú osobu, najmä pri využívaní dôveryhodných národných subjektov kybernetickej bezpečnosti. Hoci bezprostredný dopad bol obmedzený, technická sofistikovanosť AGEWHEEZE a rozsah pokusov o jej šírenie signalizujú pretrvávajúcu a vyvíjajúcu sa hrozbu.

    Organizáciám sa odporúča, aby posilnili procesy overovania e-mailov, kontrolovali nevyžiadané prílohy a vzdelávali zamestnancov v rozpoznávaní pokusov o vydávanie sa za inú osobu, do ktorých sú zapojené autoritatívne inštitúcie.

    Trendy

    Najviac videné

    Načítava...