Popust za več licenc
Podjetje o grožnjah Napredna trajna grožnja (APT) GREYVIBE Grozni igralec

GREYVIBE Grozni igralec

Do leta Mezo leta Napredna trajna grožnja (APT), Zlonamerna programska oprema
Prevedi v:

Prej neznani akter grožnje, znan kot GREYVIBE, je bil povezan z vztrajno kampanjo kibernetskega vohunjenja, usmerjeno proti Ukrajini in organizacijam, povezanim z državo, vsaj od avgusta 2025. Analize kažejo, da skupina deluje predvsem v ruskem časovnem pasu in komunicira v ruščini. Njene dejavnosti so tesno povezane z ruskimi državnimi interesi, zlasti z zbiranjem obveščevalnih podatkov v zvezi s tekočim rusko-ukrajinskim konfliktom.

GREYVIBE je ciljal na širok spekter sektorjev, vključno z vojaškimi ustanovami, vladnimi agencijami, civilnimi organizacijami in zasebnimi podjetji. Čeprav delovanje skupine kaže značilnosti, povezane z dejavnostmi nacionalne države, dokazi kažejo tudi na povezave s širšo rusko kibernetsko kriminalno krajino prek posameznikov, za katere se domneva, da so sedanji ali nekdanji akterji kibernetske kriminalitete.

Različne metode okužbe in arzenal zlonamerne programske opreme po meri

Grožnje uporabljajo različne mehanizme za ogrožanje žrtev. Mednje spadajo zelo ciljno usmerjene kampanje lažnega predstavljanja, zavajajoče strani za preverjanje CAPTCHA in goljufiva spletna mesta za zabavo za odrasle z ukrajinsko tematiko. GREYVIBE se v svojem delovanju dosledno zanaša na interno razvito zlonamerno programsko opremo, nalagalnike in orodja za zakrivanje, da se izogne odkrivanju in ohrani dostop do ogroženih sistemov.

Opazili smo več različnih napadalnih okvirov:

  • PhantomMail distribuira zlonamerne arhive ZIP in RAR prek e-poštnih sporočil z lažnim predstavljanjem, ki vsebujejo povezave, gostovane v storitvah Google Drive in 4sync. Ti arhivi vključujejo nalagalnike JavaScript, ki zaženejo vabljive dokumente med nameščanjem PhantomRelaya, trojanskega konja za oddaljeni dostop (RAT), ki temelji na PowerShellu in je sposoben sistemskega izvidovanja in oddaljenega izvajanja ukazov.
  • PhantomClick izkorišča lažne strani CAPTCHA v slogu ClickFixa, ki gostujejo na domenah, ki se izdajajo za storitve, kot sta Zoom in LAPAS. Žrtve so zmanipulirane, da izvajajo ukaze, ki sprožijo verigo okužbe PhantomRelay.
  • PrincessClub uporablja ponarejena spletna mesta ukrajinskih klubov za odrasle za distribucijo vohunske programske opreme FallSpy na napravah Android in PhantomRelayV1 ali LegionRelay na sistemih Windows. Kasnejše različice teh spletnih mest so vključevale funkcijo klicev v živo, ki temelji na WebRTC, za zajemanje zvoka in videa žrtev. FallSpy lahko zbira občutljive podatke iz okuženih naprav Android, medtem ko LegionRelay podpira odkrivanje datotek, krajo podatkov, zajemanje posnetkov zaslona, izvlečenje poverilnic brskalnika, zbiranje podatkov Telegrama in WhatsAppa ter konfiguracijo protokola oddaljenega namizja (RDP). PhantomRelayV1 razširja originalni PhantomRelay z dodajanjem mehanizma vztrajnosti nadzornika po meri.
  • DroneLink se pretvarja, da je dobrodelna organizacija, ki podpira oborožene sile Ukrajine, in skupaj z LegionRelay ponuja WireGuard.
  • Nebo uporablja različico FallSpy, prikrito kot prijavni portal v ruskem jeziku, ki je verjetno namenjena zavajanju ukrajinskega vojaškega osebja, da bi verjelo, da dostopa do legitimnega ruskega vojaškega sistema.

Umetna inteligenca kot multiplikator sile

Eden najpomembnejših vidikov delovanja skupine GREYVIBE je njena očitna odvisnost od generativne umetne inteligence in modelov velikih jezikov za izboljšanje ofenzivnih zmogljivosti. Dokazi kažejo, da je skupina uporabljala platforme, kot so Ideogram AI, OpenAI ChatGPT in Google Gemini, za pomoč pri ustvarjanju slik, razvoju zlonamerne programske opreme, zakrivanju skriptov, ustvarjanju zaledne infrastrukture in operacijah po ogrožanju.

Ta pristop s pomočjo umetne inteligence ponuja več operativnih prednosti. Pomaga nadomestiti vrzeli v tehničnih znanjih, pospeši razvojne cikle in zmanjša odvisnost od predhodno identificiranih družin zlonamerne programske opreme in orodij, ki bi lahko olajšala pripisovanje.

Naraščajoča uporaba umetne inteligence v kibernetskih operacijah predstavlja velik izziv za branilce. Akterji grožnje lahko hitro ustvarijo, spremenijo ali zamenjajo komponente svojih orodij, kar zmanjša učinkovitost tradicionalnih metod atribucije, ki se zanašajo na stabilne tehnične kazalnike in ponavljajoče se artefakte zlonamerne programske opreme.

Operativne slabosti razkrivajo razvojne vrzeli

Kljub temu, da je imel GREYVIBE koristi od razvoja s pomočjo umetne inteligence, je pokazal številne pomanjkljivosti v operativni varnosti. Raziskovalci so odkrili pomanjkljivosti v zasnovi LegionRelay, ki so nenamerno razkrile funkcionalnost zaledja, kar je omogočilo vpogled v notranje delovanje zlonamerne programske opreme.

Takšne napake so med visoko sofisticiranimi akterji, ki jih sponzorira država, običajno redke, kar kaže na to, da GREYVIBE morda ne predstavlja tradicionalne obveščevalne operacije. Namesto tega se zdi, da ima skupina nizko do zmerno tehnično dovršenost, hkrati pa izkorišča tehnologije umetne inteligence za izboljšanje zmogljivosti, ki presegajo njeno inherentno raven znanja.

Kazalniki povezav s kibernetskim kriminalom

Več ugotovitev kaže, da GREYVIBE vzdržuje povezave s širšim ruskim ekosistemom kibernetske kriminalitete:

  • Dostop do ali uporaba pripomočka za gradnjo ISO-obrazov, povezanega z domnevnimi povezavami s tolpo TrickBot in UAC-0098.
  • Zaznavanje različic PhantomRelay v na videz nepovezanih kibernetskih kriminalnih kampanjah, vključno z operacijami glasovnega lažnega predstavljanja Microsoft Teams, izvedenimi med julijem 2025 in februarjem 2026, ter kampanjami dostave KongTuke, opaženimi med februarjem in marcem 2026, ki so uporabljale tehnike ClickFix.
  • Nalaganja vzorcev v zgodnji fazi razvoja in testiranja.
  • Uporaba neformalnega internetnega slenga, kot so »letsrollboyos«, »totallyunsus« in »cuteuwu«, v konvencijah poimenovanja razvojnih artefaktov.
  • Namestitev rudarja kriptovalut XMRig na omejeno število sistemov, okuženih z LegionRelay.

Ti kazalniki podpirajo oceno zmernega zaupanja, da ima GREYVIBE pomembne vezi s kibernetsko kriminalnimi mrežami, in oceno nizkega do zmernega zaupanja, da so nekateri člani trenutno ali so bili v preteklosti vpleteni v dejavnosti kibernetske kriminalitete.

Zabrisovanje meje med državnimi in kriminalnimi operacijami

Natančna narava odnosa GREYVIBE z rusko državo ostaja negotova. Obstaja več možnosti, vključno z integracijo osebja kibernetske kriminalitete v državno podprto organizacijo, neodvisnimi operaterji, ki izvajajo državno usmerjene naloge, ali oblikovanjem hibridne strukture, ki združuje kriminalne in državne elemente.

Posledično GREYVIBE zaseda kompleksen prostor med tradicionalno kibernetsko kriminaliteto in kibernetskimi operacijami, povezanimi z vlado. To prekrivanje otežuje prizadevanja za pripisovanje in poudarja vse bolj zabrisane meje med finančno motivirano kibernetsko kriminaliteto in državno sponzoriranimi obveščevalnimi operacijami.

V trendu

Prevara z e-poštnimi sporočili za sodelovanje na...

Lažno predstavljanje, Neželena pošta
Kibernetski kriminalci, ki stojijo za prevaro LinkedIn Collaboration, poskušajo prejemnike zvabiti s tem, kar je videti kot profesionalno poslovno povpraševanje. E-poštna sporočila naj bi izvirala od kupca z imenom »Jonathan Spriggs« iz podjetja Storex Trading Ltd., ki naj bi prejemnika odkril prek LinkedIna in se želi pogovoriti o velikem naročilu izdelkov, ki vključuje 12.000 enot. Da bi...

Vaš e-poštni odjemalec Microsoft Outlook je zastarel...

Lažno predstavljanje, Neželena pošta
E-poštna sporočila »Vaš e-poštni odjemalec Microsoft Outlook je zastarel« so lažna sporočila, oblikovana tako, da so videti kot uradna varnostna obvestila programa Microsoft Outlook. E-poštna sporočila prejemnike opozarjajo, da je njihov e-poštni odjemalec domnevno zastarel, in trdijo, da bi lahko brez takojšnje posodobitve izgubili e-pošto, stike, koledarje, sestanke in druge pomembne podatke...

Najbolj gledan

Nalaganje...