Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Kërcënimi i avancuar i vazhdueshëm (APT) Aktor Kërcënimi GREYVIBE

Aktor Kërcënimi GREYVIBE

Nga MezoKërcënimi i avancuar i vazhdueshëm (APT), Malware
Përkthe në:

Një aktor kërcënimi i paidentifikuar më parë, i njohur si GREYVIBE, është lidhur me një fushatë të vazhdueshme spiunazhi kibernetik që synon Ukrainën dhe organizatat e lidhura me vendin, të paktën që nga gushti i vitit 2025. Analizat sugjerojnë se grupi vepron kryesisht brenda zonës kohore ruse dhe komunikon në rusisht. Aktivitetet e tij përputhen ngushtë me interesat shtetërore ruse, veçanërisht përpjekjet për mbledhjen e inteligjencës që lidhen me konfliktin e vazhdueshëm ruso-ukrainas.

GREYVIBE ka synuar një gamë të gjerë sektorësh, duke përfshirë institucionet ushtarake, agjencitë qeveritare, organizatat civile dhe bizneset private. Ndërsa operacionet e grupit shfaqin karakteristika të lidhura me aktivitetin e shtetit kombëtar, provat tregojnë gjithashtu lidhje me peizazhin më të gjerë rus të krimit kibernetik përmes individëve që besohet të jenë aktorë aktualë ose të mëparshëm të krimit kibernetik.

Metoda të Ndryshme Infeksioni dhe Arsenal i Personalizuar i Malware-it

Aktori kërcënues përdor një sërë mekanizmash shpërndarjeje për të kompromentuar viktimat. Këto përfshijnë fushata shumë të synuara për spear-phishing, faqe mashtruese verifikimi CAPTCHA dhe faqe interneti mashtruese argëtimi për të rritur me temë ukrainase. Në të gjitha operacionet e saj, GREYVIBE mbështetet vazhdimisht në malware, ngarkues dhe mjete errësimi të zhvilluara brenda kompanisë për të shmangur zbulimin dhe për të ruajtur aksesin në sistemet e kompromentuara.

Janë vërejtur disa korniza të dallueshme sulmesh:

  • PhantomMail shpërndan arkiva keqdashëse ZIP dhe RAR përmes emaileve spear-phishing që përmbajnë lidhje të vendosura në Google Drive dhe 4sync. Këto arkiva përfshijnë ngarkues JavaScript që lëshojnë dokumente mashtruese ndërsa vendosin PhantomRelay, një trojan me qasje në distancë (RAT) të bazuar në PowerShell i aftë për zbulimin e sistemit dhe ekzekutimin e komandave në distancë.
  • PhantomClick shfrytëzon faqet e rreme CAPTCHA në stilin ClickFix të vendosura në domene që imitojnë shërbime të tilla si Zoom dhe LAPAS. Viktimat manipulohen për të ekzekutuar komanda që shkaktojnë zinxhirin e infeksionit PhantomRelay.
  • PrincessClub përdor faqet e falsifikuara të klubeve të të rriturve ukrainase për të shpërndarë programe spiune FallSpy në pajisjet Android dhe PhantomRelayV1 ose LegionRelay në sistemet Windows. Versionet e mëvonshme të këtyre faqeve të internetit përfshinin funksionalitetin e thirrjeve të drejtpërdrejta të bazuara në WebRTC për të kapur audion dhe videon e viktimave. FallSpy është i aftë të mbledhë informacione të ndjeshme nga pajisjet e infektuara Android, ndërsa LegionRelay mbështet zbulimin e skedarëve, vjedhjen e të dhënave, kapjen e pamjeve të ekranit, nxjerrjen e kredencialeve të shfletuesit, mbledhjen e të dhënave në Telegram dhe WhatsApp, dhe konfigurimin e Protokollit të Desktopit në Remote (RDP). PhantomRelayV1 zgjeron PhantomRelay origjinal duke shtuar një mekanizëm të personalizuar të qëndrueshmërisë së mbikëqyrësit.
  • DroneLink maskohet si organizatë bamirëse që mbështet Forcat e Armatosura të Ukrainës dhe ofron WireGuard së bashku me LegionRelay.
  • Nebo vendos një variant të FallSpy të maskuar si një portal hyrjeje në gjuhën ruse, me shumë gjasa për të mashtruar personelin ushtarak ukrainas duke e bërë të besojë se po hyn në një sistem legjitim ushtarak rus.

Inteligjenca Artificiale si Shumëzues Force

Një nga aspektet më të dukshme të operacioneve të GREYVIBE është mbështetja e saj e dukshme në inteligjencën artificiale gjeneruese dhe modelet e mëdha gjuhësore për të përmirësuar aftësitë ofensive. Provat sugjerojnë se grupi ka përdorur platforma të tilla si Ideogram AI, OpenAI ChatGPT dhe Google Gemini për të ndihmuar në gjenerimin e imazheve, zhvillimin e programeve keqdashëse, errësimin e skripteve, krijimin e infrastrukturës së prapavijës dhe operacionet pas kompromentimit.

Kjo qasje e asistuar nga inteligjenca artificiale ofron disa avantazhe operacionale. Ndihmon në kompensimin e boshllëqeve në aftësi teknike, përshpejton ciklet e zhvillimit dhe zvogëlon varësinë nga familjet dhe mjetet e programeve keqdashëse të identifikuara më parë që mund të lehtësojnë atribuimin.

Përdorimi në rritje i Inteligjencës Artificiale brenda operacioneve kibernetike paraqet një sfidë të rëndësishme për mbrojtësit. Aktorët kërcënues mund të gjenerojnë, modifikojnë ose zëvendësojnë me shpejtësi komponentët e mjeteve të tyre, duke zvogëluar efektivitetin e metodave tradicionale të atribuimit që mbështeten në tregues teknikë të qëndrueshëm dhe objekte të përsëritura të malware-it.

Dobësitë Operacionale Zbulojnë Boshllëqe në Zhvillim

Pavarësisht përfitimit nga zhvillimi i asistuar nga inteligjenca artificiale, GREYVIBE ka demonstruar mangësi të shumta në sigurinë operacionale. Studiuesit identifikuan të meta në dizajn brenda LegionRelay që ekspozuan pa dashje funksionalitetin e backend-it, duke ofruar informacion mbi operacionet e brendshme të malware-it.

Gabime të tilla janë përgjithësisht të rralla midis aktorëve shumë të sofistikuar të sponsorizuar nga shteti, duke sugjeruar që GREYVIBE mund të mos përfaqësojë një operacion tradicional të shërbimit të inteligjencës. Në vend të kësaj, grupi duket se zotëron një sofistikim teknik të ulët deri në të moderuar, ndërsa shfrytëzon teknologjitë e inteligjencës artificiale për të rritur aftësitë përtej nivelit të tij të natyrshëm të aftësive.

Treguesit e Lidhjeve me Kriminelët Kibernetikë

Gjetje të shumta sugjerojnë që GREYVIBE mban lidhje me ekosistemin më të gjerë rus të krimit kibernetik:

  • Qasje ose përdorim i një programi ndërtimi ISO të lidhur me lidhje të dyshuara me bandën TrickBot dhe UAC-0098.
  • Zbulimi i varianteve të PhantomRelay brenda fushatave në dukje të palidhura me kriminalitetin kibernetik, duke përfshirë operacionet e phishing-ut me zë të Microsoft Teams të kryera midis korrikut 2025 dhe shkurtit 2026 dhe fushatat e shpërndarjes KongTuke të vëzhguara midis shkurtit dhe marsit 2026 që përdorën teknikat ClickFix.
  • Ngarkime të mostrave të zhvillimit dhe testimit në fazën e hershme.
  • Përdorimi i zhargonit joformal të internetit, si 'letsrollboyos', 'totallyunsus' dhe 'cuteuwu' në konventat e emërtimit të artifakteve në zhvillim.
  • Vendosja e minatorit të kriptomonedhave XMRig në një numër të kufizuar sistemesh të infektuara me LegionRelay.

Këta tregues mbështesin një vlerësim me besim të moderuar se GREYVIBE ka lidhje domethënëse me rrjetet e krimit kibernetik dhe një vlerësim me besim të ulët deri në të moderuar se disa anëtarë mund të jenë aktualisht ose kanë qenë më parë të përfshirë në aktivitete të krimit kibernetik.

Zbehja e vijës ndarëse midis operacioneve shtetërore dhe kriminale

Natyra e saktë e marrëdhënies së GREYVIBE me shtetin rus mbetet e pasigurt. Ekzistojnë disa mundësi, duke përfshirë integrimin e personelit të krimit kibernetik në një organizatë të mbështetur nga shteti, operatorë të pavarur që kryejnë detyra të drejtuara nga shteti ose formimin e një strukture hibride që kombinon elementë kriminalë dhe të lidhur me shtetin.

Si rezultat, GREYVIBE zë një hapësirë komplekse midis krimit tradicional kibernetik dhe operacioneve kibernetike të lidhura me qeverinë. Kjo mbivendosje ndërlikon përpjekjet e atribuimit dhe nxjerr në pah kufijtë gjithnjë e më të paqartë midis aktivitetit kibernetik kriminal të motivuar financiarisht dhe operacioneve të inteligjencës të sponsorizuara nga shteti.

Në trend

Mashtrimi me email-in e bashkëpunimit në LinkedIn

Fishing, Spam
Kriminelët kibernetikë që fshihen pas mashtrimit LinkedIn Collaboration përpiqen të joshin marrësit me atë që duket të jetë një kërkesë profesionale biznesi. Emailet pretendojnë se vijnë nga një blerës i quajtur 'Jonathan Spriggs' nga Storex Trading Ltd., i cili supozohet se e zbuloi marrësin përmes LinkedIn dhe dëshiron të diskutojë një porosi të madhe produkti që përfshin 12,000 njësi. Për ta...

Klienti juaj i email-it i Microsoft Outlook është...

Fishing, Spam
Emailet 'Klienti juaj i email-it të Microsoft Outlook është i vjetëruar' janë mesazhe phishing të hartuara për t'u dukur si njoftime zyrtare sigurie nga Microsoft Outlook. Emailet i paralajmërojnë marrësit se klienti i tyre i email-it dyshohet se është i vjetëruar dhe pretendojnë se mospërditësimi i menjëhershëm mund të rezultojë në humbjen e email-eve, kontakteve, kalendarëve, takimeve dhe të...

Më e shikuara

Po ngarkohet...