Multilicenčná zľavová ponuka
Databáza hrozieb Pokročilá perzistentná hrozba (APT) GREYVIBE Hroziaci herec

GREYVIBE Hroziaci herec

Do roku Mezo v roku Pokročilá perzistentná hrozba (APT), Malvér
Preložiť do:

Doteraz neidentifikovaný aktér hrozby známy ako GREYVIBE bol spájaný s prebiehajúcou kybernetickou špionážnou kampaňou zameranou na Ukrajinu a organizácie prepojené s touto krajinou prinajmenšom od augusta 2025. Analýza naznačuje, že skupina pôsobí predovšetkým v ruskom časovom pásme a komunikuje v ruštine. Jej aktivity úzko súvisia so záujmami ruského štátu, najmä so snahou o zhromažďovanie spravodajských informácií súvisiacich s prebiehajúcim rusko-ukrajinským konfliktom.

GREYVIBE sa zamerala na širokú škálu sektorov vrátane vojenských inštitúcií, vládnych agentúr, civilných organizácií a súkromných podnikov. Hoci operácie skupiny vykazujú charakteristiky spojené s činnosťou národného štátu, dôkazy tiež naznačujú prepojenie so širšou ruskou kyberkriminálnou krajinou prostredníctvom jednotlivcov, o ktorých sa predpokladá, že sú súčasnými alebo bývalými aktérmi kyberkriminality.

Rôzne metódy infikovania a arzenál špecializovaného škodlivého softvéru

Hroziaci aktér využíva rôzne mechanizmy na kompromitovanie obetí. Patria sem cielené phishingové kampane, klamlivé overovacie stránky CAPTCHA a podvodné webové stránky pre dospelých s ukrajinskou tematikou. GREYVIBE sa vo svojich operáciách neustále spolieha na interne vyvinutý malvér, zavádzacie programy a nástroje na zahmlievanie, aby sa vyhol odhaleniu a udržal si prístup k napadnutým systémom.

Bolo pozorovaných niekoľko odlišných rámcov útoku:

  • PhantomMail distribuuje škodlivé ZIP a RAR archívy prostredníctvom phishingových e-mailov obsahujúcich odkazy hostované na Disku Google a 4sync. Tieto archívy obsahujú zavádzače JavaScriptu, ktoré spúšťajú návnadové dokumenty pri nasadzovaní PhantomRelay, trójskeho koňa pre vzdialený prístup (RAT) založeného na PowerShelle, ktorý je schopný prieskumu systému a vykonávania vzdialených príkazov.
  • PhantomClick využíva falošné CAPTCHA stránky v štýle ClickFix, ktoré sú hostované na doménach vydávajúcich sa za služby ako Zoom a LAPAS. Obete sú manipulované tak, aby vykonávali príkazy, ktoré spúšťajú infekčný reťazec PhantomRelay.
  • PrincessClub používa falošné webové stránky ukrajinských klubov pre dospelých na distribúciu spywaru FallSpy na zariadeniach so systémom Android a buď PhantomRelayV1, alebo LegionRelay na systémoch Windows. Neskoršie verzie týchto webových stránok obsahovali funkciu živých hovorov založenú na WebRTC na zachytávanie zvuku a videa obetí. FallSpy dokáže zhromažďovať citlivé informácie z infikovaných zariadení so systémom Android, zatiaľ čo LegionRelay podporuje vyhľadávanie súborov, krádež údajov, snímanie snímok obrazovky, extrakciu poverení prehliadača, zhromažďovanie údajov z Telegramu a WhatsAppu a konfiguráciu protokolu RDP (Remote Desktop Protocol). PhantomRelayV1 rozširuje pôvodný PhantomRelay pridaním vlastného mechanizmu watchdog perzistencie.
  • DroneLink sa maskuje ako charitatívna organizácia podporujúca ozbrojené sily Ukrajiny a dodáva WireGuard spolu s LegionRelay.
  • Nebo nasadzuje variant FallSpy maskovaný ako ruský prihlasovací portál, pravdepodobne určený na oklamanie ukrajinského vojenského personálu a jeho presvedčenie, že pristupuje k legitímnemu ruskému vojenskému systému.

Umelá inteligencia ako multiplikátor sily

Jedným z najpozoruhodnejších aspektov operácií skupiny GREYVIBE je jej zjavná závislosť od generatívnej umelej inteligencie a modelov rozsiahlych jazykov na zlepšenie útočných schopností. Dôkazy naznačujú, že skupina využívala platformy ako Ideogram AI, OpenAI ChatGPT a Google Gemini na pomoc s generovaním obrázkov, vývojom malvéru, obfuskáciou skriptov, vytváraním backendovej infraštruktúry a operáciami po kompromitácii.

Tento prístup s pomocou umelej inteligencie ponúka niekoľko prevádzkových výhod. Pomáha kompenzovať medzery v technických zručnostiach, urýchľuje vývojové cykly a znižuje závislosť od predtým identifikovaných rodín a nástrojov malvéru, ktoré by mohli uľahčiť pripisovanie.

Rastúce využívanie umelej inteligencie v kybernetických operáciách predstavuje pre obrancov značnú výzvu. Aktéri hrozieb môžu rýchlo generovať, upravovať alebo nahrádzať komponenty svojich nástrojov, čím znižujú účinnosť tradičných metód atribucie, ktoré sa spoliehajú na stabilné technické indikátory a opakujúce sa artefakty malvéru.

Prevádzkové nedostatky odhaľujú medzery vo vývoji

Napriek tomu, že GREYVIBE využíval výhody vývoja s pomocou umelej inteligencie, preukázal viacero nedostatkov v oblasti prevádzkovej bezpečnosti. Výskumníci identifikovali konštrukčné chyby v LegionRelay, ktoré neúmyselne odhalili funkčnosť backendu, čo poskytlo prehľad o vnútorných operáciách malvéru.

Takéto chyby sú medzi vysoko sofistikovanými aktérmi sponzorovanými štátom vo všeobecnosti nezvyčajné, čo naznačuje, že GREYVIBE nemusí predstavovať tradičnú operáciu spravodajskej služby. Namiesto toho sa zdá, že skupina má nízku až strednú technickú sofistikovanosť a zároveň využíva technológie umelej inteligencie na posilnenie schopností nad rámec svojej inherentnej úrovne zručností.

Indikátory prepojení s kybernetickou kriminalitou

Viaceré zistenia naznačujú, že GREYVIBE si udržiava väzby na širší ruský ekosystém kyberkriminality:

  • Prístup k alebo používanie nástroja na zostavovanie ISO obrazov, ktorý je spojený s podozrením z prepojenia na gang TrickBot a UAC-0098.
  • Detekcia variantov PhantomRelay v zdanlivo nesúvisiacich kyberzločinných kampaniach vrátane phishingových operácií hlasového prístupu v Microsoft Teams vykonaných medzi júlom 2025 a februárom 2026 a doručovacích kampaní KongTuke pozorovaných medzi februárom a marcom 2026, ktoré využívali techniky ClickFix.
  • Nahrávanie vzoriek z raného štádia vývoja a testovania.
  • Používanie neformálneho internetového slangu, ako napríklad „letsrollboyos“, „totallyunsus“ a „cuteuwu“, v konvenciách pomenovávania vývojových artefaktov.
  • Nasadenie ťažobného nástroja na kryptomeny XMRig na obmedzený počet systémov infikovaných vírusom LegionRelay.

Tieto ukazovatele podporujú hodnotenie miernej dôvery, že GREYVIBE má zmysluplné väzby na siete kybernetickej kriminality, a hodnotenie nízkej až miernej dôvery, že niektorí členovia môžu byť v súčasnosti alebo v minulosti zapojení do aktivít kybernetickej kriminality.

Stieranie hranice medzi štátnymi a kriminálnymi operáciami

Presná povaha vzťahu GREYVIBE s ruským štátom zostáva neistá. Existuje niekoľko možností vrátane integrácie pracovníkov kyberkriminality do štátom podporovanej organizácie, nezávislých operátorov vykonávajúcich štátom riadené úlohy alebo vytvorenia hybridnej štruktúry, ktorá kombinuje kriminálne a štátom napojené prvky.

V dôsledku toho sa GREYVIBE nachádza v zložitom priestore medzi tradičnou kyberkriminalitou a kybernetickými operáciami prepojenými s vládou. Toto prekrývanie komplikuje úsilie o pripisovanie a zdôrazňuje čoraz viac nejasné hranice medzi finančne motivovanou kyberkriminálnou činnosťou a štátom sponzorovanými spravodajskými operáciami.

Trendy

Podvod s e-mailami na spoluprácu na LinkedIn

Phishing, Spam
Kyberzločinci stojaci za podvodom LinkedIn Collaboration sa snažia nalákať príjemcov niečím, čo vyzerá ako profesionálny obchodný dopyt. E-maily údajne pochádzajú od kupujúceho menom „Jonathan Spriggs“ zo spoločnosti Storex Trading Ltd., ktorý údajne objavil príjemcu cez LinkedIn a chce prediskutovať veľkú objednávku produktov zahŕňajúcu 12 000 kusov. Aby správa vyzerala autenticky, podvodníci...

Váš e-mailový klient Microsoft Outlook je zastaraný...

Phishing, Spam
E-maily s textom „Váš e-mailový klient Microsoft Outlook je zastaraný“ sú phishingové správy vytvorené tak, aby vyzerali ako oficiálne bezpečnostné oznámenia z programu Microsoft Outlook. E-maily upozorňujú príjemcov, že ich e-mailový klient je údajne zastaraný a tvrdia, že ak ho okamžite neaktualizujú, môže to viesť k strate e-mailov, kontaktov, kalendárov, stretnutí a ďalších dôležitých...

Najviac videné

Načítava...