Popust za več licenc
Podjetje o grožnjah Orodja za oddaljeno upravljanje AGEWHEEZE PODGANA

AGEWHEEZE PODGANA

Do leta Mezo leta Orodja za oddaljeno upravljanje, Napredna trajna grožnja (APT)
Prevedi v:

Analitiki za kibernetsko varnost so odkrili ciljno usmerjeno phishing operacijo, v kateri so se akterji izdajali za ukrajinsko enoto za odzivanje na računalniške izredne razmere (Computer Emergency Response Team of Ukrainian), da bi distribuirali orodje za oddaljeno upravljanje, znano kot AGEWHEEZE. Kampanja, ki jo pripisujejo skupini UAC-0255, se je zanašala na zavajajoča e-poštna sporočila, poslana 26. in 27. marca 2026, v katerih so prejemnike pozivali k namestitvi tako imenovane »specializirane programske opreme«.

Ta e-poštna sporočila so vsebovala povezave do z geslom zaščitene ZIP-arhivske datoteke, ki je gostovala na Files.fm. Arhiv z imenom CERT_UA_protection_tool.zip je bil predstavljen kot legitimno varnostno orodje, vendar je namesto tega dostavljal zlonamerne koristne vsebine. Nekatera sporočila so izvirala z lažnega naslova »incidents@cert-ua.tech«, kar je še okrepilo iluzijo pristnosti.

Profil cilja in doseg napada

Operacija je zajela široko mrežo in se osredotočila na raznoliko paleto organizacij, ki so ključne za nacionalno infrastrukturo in javne storitve. Med njimi so bile:

  • Vladne in državne institucije
  • Zdravstvene ustanove in ustanove za zdravstveno varstvo
  • Podjetja, povezana z varnostjo in obrambo
  • Izobraževalne organizacije
  • Finančne institucije
  • Podjetja za razvoj programske opreme

Kljub široki strategiji ciljanja se zdi, da je splošna učinkovitost kampanje omejena. Potrjenih je bilo le majhno število okužb, ki so prizadele predvsem osebne naprave zaposlenih v izobraževalnih ustanovah.

V AGEWHEEZE: Zmogljivosti in mehanizmi vztrajnosti

AGEWHEEZE je trojanski konj za oddaljeni dostop, ki temelji na Go in je zasnovan za obsežen sistemski nadzor in nadzor. Ko je nameščen, vzpostavi komunikacijo s strežnikom za upravljanje in nadzor na naslovu 54.36.237.92 z uporabo protokolov WebSocket.

Zlonamerna programska oprema napadalcem omogoča izvajanje širokega spektra zlonamernih dejavnosti, vključno z:

  • Izvajanje poljubnih ukazov in upravljanje sistemskih procesov
  • Izvajanje operacij z datotekami in upravljanje shranjenih podatkov
  • Zajemanje posnetkov zaslona in spremljanje aktivnosti uporabnikov
  • Emulacija vnosov z miško in tipkovnico
  • Spreminjanje vsebine odložišča
  • Vzdrževanje vztrajnosti prek načrtovanih opravil, sprememb registra sistema Windows ali namestitve zagonskega imenika

Zaradi te kombinacije funkcij je AGEWHEEZE vsestransko orodje za vohunjenje, lateralno premikanje in dolgoročno ogrožanje sistema.

Zavajajoča infrastruktura in izdelava s pomočjo umetne inteligence

Preiskava goljufive domene »cert-ua.tech« je razkrila znake avtomatiziranega ali z umetno inteligenco podprtega razvoja. Izvorna koda HTML spletnega mesta je vsebovala opazen komentar v ruščini: »Z ljubeznijo, КИБЕР СЕРП« (»Z ljubeznijo, CYBER SERP«), kar je nakazovalo na pripisovanje skupini, ki se imenuje Cyber Serp.

Cyber Serp je prek svojega Telegram kanala, ki je bil ustanovljen novembra 2025 in ima več kot 700 naročnikov, trdil, da je povezan z ukrajinskimi kibernetskimi podzemnimi krogi. Skupina je javno zatrdila, da je phishing kampanja ciljala na do milijon e-poštnih računov in privedla do več kot 200.000 ogroženih naprav, kar znatno presega neodvisne ocene.

Nasprotujoče si trditve in širša dejavnost groženj

CyberSerp se je poskušal pozicionirati kot selektiven akter, saj trdi, da njegove operacije ne bodo vplivale na navadne državljane. Vendar pa takšne izjave niso v skladu z neselektivno naravo obsežnih phishing kampanj.

V ločenem incidentu je skupina prevzela odgovornost za vdor v sistem Cipher, pri čemer je trdila, da je imela dostop do podatkov strežnika, odjemalskih baz podatkov in lastniške izvorne kode. Cipher je kasneje potrdil omejeno ogrožanje, ki je vključevalo poverilnice zaposlenega, vendar je poudaril, da:

  • Osrednja infrastruktura je ostala varna in delujoča
  • Prizadeti račun je imel dostop le do enega samega, neobčutljivega projekta.

To neskladje poudarja pogosto taktiko med akterji grožnje, ki pretiravajo z vplivom, da bi okrepili zaznani vpliv in verodostojnost.

Posledice za ocenjevanje in varnost

Kampanja dokazuje stalno učinkovitost taktik lažnega predstavljanja, zlasti pri uporabi zaupanja vrednih nacionalnih subjektov za kibernetsko varnost. Čeprav je bil takojšnji vpliv omejen, tehnična dovršenost AGEWHEEZE in obseg poskusov distribucije kažeta na vztrajno in spreminjajočo se krajino groženj.

Organizacijam se svetuje, naj okrepijo postopke preverjanja e-pošte, natančno pregledajo neželene priloge in izobrazijo osebje o prepoznavanju poskusov lažnega predstavljanja, v katere so vpletene avtoritativne institucije.

V trendu

Najbolj gledan

Nalaganje...