Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Mjetet e administrimit në distancë AGEWHEEZE RAT

AGEWHEEZE RAT

Nga MezoMjetet e administrimit në distancë, Kërcënimi i avancuar i vazhdueshëm (APT)
Përkthe në:

Analistët e sigurisë kibernetike kanë zbuluar një operacion të synuar phishing në të cilin aktorët kërcënues u imituan Ekipin e Reagimit ndaj Emergjencave Kompjuterike të Ukrainës për të shpërndarë një mjet administrimi në distancë të njohur si AGEWHEEZE. Fushata, e cila i atribuohet grupit UAC-0255, mbështetej në email-e mashtruese të dërguara më 26 dhe 27 mars 2026, duke i nxitur marrësit të instalonin atë që përshkruhej si 'softuer i specializuar'.

Këto email-e përmbanin lidhje për një arkiv ZIP të mbrojtur me fjalëkalim, i cili ndodhej në Files.fm. Arkivi, i quajtur CERT_UA_protection_tool.zip, u paraqit si një program sigurie legjitim, por në vend të kësaj dërgonte skedarë keqdashës. Disa mesazhe buronin nga adresa e falsifikuar 'incidents@cert-ua.tech', duke përforcuar më tej iluzionin e autenticitetit.

Profili i Synimit dhe Shtrirja e Sulmit

Operacioni shtriu një rrjet të gjerë, duke synuar një gamë të larmishme organizatash kritike për infrastrukturën kombëtare dhe shërbimet publike. Këto përfshinin:

  • Qeveria dhe institucionet shtetërore
  • Objektet mjekësore dhe të kujdesit shëndetësor
  • Kompanitë e lidhura me sigurinë dhe mbrojtjen
  • Organizatat arsimore
  • Institucionet financiare
  • Firmat e zhvillimit të softuerëve

Pavarësisht strategjisë së gjerë të shënjestrimit, efektiviteti i përgjithshëm i fushatës duket i kufizuar. U konfirmua vetëm një numër i vogël infeksionesh, duke prekur kryesisht pajisjet personale të punonjësve brenda institucioneve arsimore.

Brenda AGEWHEEZE: Aftësitë dhe Mekanizmat e Qëndrueshmërisë

AGEWHEEZE është një trojan me akses në distancë i bazuar në Go, i projektuar për kontroll dhe mbikëqyrje të gjerë të sistemit. Pasi të instalohet, ai krijon komunikim me një server komande dhe kontrolli në 54.36.237.92 duke përdorur protokollet WebSocket.

Malware-i u mundëson sulmuesve të kryejnë një spektër të gjerë aktivitetesh dashakeqe, duke përfshirë:

  • Ekzekutimi i komandave arbitrare dhe menaxhimi i proceseve të sistemit
  • Kryerja e operacioneve të skedarëve dhe manipulimi i të dhënave të ruajtura
  • Kapja e pamjeve të ekranit dhe monitorimi i aktivitetit të përdoruesit
  • Emulimi i hyrjeve të mausit dhe tastierës
  • Ndryshimi i përmbajtjes së kujtesës së përkohshme
  • Ruajtja e qëndrueshmërisë nëpërmjet detyrave të planifikuara, modifikimeve të Regjistrit të Windows ose vendosjes në direktorinë e fillimit

Ky kombinim karakteristikash e bën AGEWHEEZE një mjet të gjithanshëm për spiunazh, lëvizje anësore dhe kompromentim afatgjatë të sistemit.

Infrastrukturë Mashtruese dhe Fabrikim i Ndihmuar nga IA

Hetimi në domenin mashtrues 'cert-ua.tech' zbuloi tregues të zhvillimit të automatizuar ose të asistuar nga inteligjenca artificiale. Kodi burimor HTML i faqes së internetit përmbante një koment të dukshëm në rusisht: 'С Любовью, КИБЕР СЕРП' ('Me dashuri, CYBER SERP'), duke sugjeruar atribuimin e tij një grupi që e quan veten Cyber Serp.

Cyber Serp ka pretenduar lidhje me qarqet kibernetike nëntokësore ukrainase nëpërmjet kanalit të saj Telegram, i cili u krijua në nëntor 2025 dhe ka grumbulluar mbi 700 abonentë. Grupi pohoi publikisht se fushata e phishing kishte në shënjestër deri në një milion llogari email-i dhe rezultoi në mbi 200,000 pajisje të kompromentuara, shifra që tejkalojnë ndjeshëm vlerësimet e pavarura.

Pretendime Kontradiktore dhe Aktivitet Kërcënues më i Gjerë

Cyber Serp është përpjekur ta pozicionojë veten si një aktor selektiv, duke pretenduar se qytetarët e zakonshëm nuk do të ndikohen nga operacionet e saj. Megjithatë, deklarata të tilla janë në kundërshtim me natyrën pa dallim të fushatave të phishing në shkallë të gjerë.

Në një incident të veçantë, grupi mori përgjegjësinë për shkeljen e Cipher, duke pretenduar akses në të dhënat e serverit, bazat e të dhënave të klientëve dhe kodin burimor të patentuar. Cipher më vonë konfirmoi një kompromentim të kufizuar që përfshinte kredencialet e një punonjësi, por theksoi se:

  • Infrastruktura kryesore mbeti e sigurt dhe funksionale
  • Llogaria e prekur kishte qasje vetëm në një projekt të vetëm, jo të ndjeshëm.

Kjo mospërputhje nxjerr në pah një taktikë të zakonshme midis aktorëve kërcënues, ekzagjerimin e ndikimit për të amplifikuar ndikimin dhe besueshmërinë e perceptuar.

Vlerësimi dhe Implikimet e Sigurisë

Fushata demonstron efektivitetin e vazhdueshëm të taktikave të imitimit, veçanërisht kur shfrytëzohen entitete të besueshme kombëtare të sigurisë kibernetike. Ndërsa ndikimi i menjëhershëm ishte i përmbajtur, sofistikimi teknik i AGEWHEEZE dhe shkalla e tentativës së shpërndarjes sinjalizojnë një peizazh kërcënimesh të vazhdueshëm dhe në zhvillim.

Organizatave u këshillohet të përforcojnë proceset e verifikimit të email-it, të shqyrtojnë me kujdes bashkëngjitjet e pakërkuara dhe të edukojnë personelin mbi njohjen e përpjekjeve të imitimit që përfshijnë institucione autoritare.

Në trend

Më e shikuara

Po ngarkohet...