Попуст за више лиценци
Тхреат Датабасе Алати за удаљену администрацију AGEWHEEZE RAT

AGEWHEEZE RAT

До Mezo. у Алати за удаљену администрацију, Напредна трајна претња (АПТ)
Преведи на:

Аналитичари сајбер безбедности открили су циљану фишинг операцију у којој су се актери претњи представљали као Украјински тим за реаговање на рачунарске ванредне ситуације како би дистрибуирали алат за даљинско администрирање познат као AGEWHEEZE. Кампања, која се приписује групи UAC-0255, ослањала се на обмањујуће имејлове послате 26. и 27. марта 2026. године, у којима су примаоци позивани да инсталирају оно што је описано као „специјализовани софтвер“.

Ови имејлови су садржали линкове ка ZIP архиви заштићеној лозинком која се налази на Files.fm-у. Архива, под називом CERT_UA_protection_tool.zip, представљена је као легитиман безбедносни услужни програм, али је уместо тога испоручивала злонамерне поруке. Неке поруке су потицале са лажне адресе „incidents@cert-ua.tech“, што је додатно појачавало илузију аутентичности.

Профил циља и домет напада

Операција је бацила широк мрежу, циљајући разноврсне организације које су кључне за националну инфраструктуру и јавне услуге. Међу њима су биле:

  • Влада и државне институције
  • Медицинске и здравствене установе
  • Компаније везане за безбедност и одбрану
  • Образовне организације
  • Финансијске институције
  • Фирме за развој софтвера

Упркос широкој стратегији циљања, укупна ефикасност кампање делује ограничено. Потврђен је само мали број инфекција, које су првенствено погађале личне уређаје запослених у образовним институцијама.

Унутар AGEWHEEZE-а: Способности и механизми истрајности

AGEWHEEZE је тројански вирус за даљински приступ базиран на Go-у, дизајниран за опсежну контролу и надзор система. Једном инсталиран, успоставља комуникацију са командно-контролним сервером на адреси 54.36.237.92 користећи WebSocket протоколе.

Злонамерни софтвер омогућава нападачима да обављају широк спектар злонамерних активности, укључујући:

  • Извршавање произвољних команди и управљање системским процесима
  • Обављање операција са датотекама и манипулисање сачуваним подацима
  • Прављење снимака екрана и праћење активности корисника
  • Емулација уноса миша и тастатуре
  • Промена садржаја међуспремника
  • Одржавање постојаности путем заказаних задатака, измена Windows регистра или постављања директоријума за покретање

    • Ова комбинација карактеристика чини AGEWHEEZE свестраним алатом за шпијунажу, латерално кретање и дугорочно компромитовање система.

    Обмањујућа инфраструктура и израда уз помоћ вештачке интелигенције

    Истрага преварантског домена „cert-ua.tech“ открила је индикаторе аутоматизованог или развоја уз помоћ вештачке интелигенције. HTML изворни код веб странице садржао је значајан коментар на руском: „С љубављу, КИБЕР СЕРП“ („С љубављу, CYBER SERP“), што сугерише приписивање групи која себе назива Cyber Serp.

    Сајбер Серп је тврдио да је повезан са украјинским сајбер-подземним круговима путем свог Телеграм канала, који је основан у новембру 2025. године и који је акумулирао преко 700 претплатника. Група је јавно тврдила да је фишинг кампања циљала до милион имејл налога и да је резултирала са преко 200.000 компромитованих уређаја, што значајно премашује независне процене.

    Сукобљене тврдње и шира активност претњи

    Сајбер Серп је покушао да се позиционира као селективан актер, тврдећи да обични грађани неће бити погођени његовим операцијама. Међутим, такве изјаве су у супротности са неселективном природом великих фишинг кампања.

    У одвојеном инциденту, група је преузела одговорност за кршење безбедности Сајфера, наводећи приступ подацима сервера, клијентским базама података и власничком изворном коду. Сајфер је касније потврдио ограничено угрожавање које је укључивало акредитиве запосленог, али је нагласио да:

    • Основна инфраструктура је остала безбедна и оперативна
    • Погођени налог је имао приступ само једном, неосетљивом пројекту

    Ова неслагања истичу уобичајену тактику међу актерима претње, преувеличавање утицаја како би се појачао перципирани утицај и кредибилитет.

    Процена и импликације безбедности

    Кампања показује континуирану ефикасност тактика лажног представљања, посебно када се користе поуздани национални субјекти за сајбер безбедност. Иако је непосредни утицај био ограничен, техничка софистицираност AGEWHEEZE-а и обим покушаја дистрибуције сигнализирају постојан и еволуирајући пејзаж претњи.

    Организацијама се саветује да појачају процесе верификације е-поште, пажљиво провере нежељене прилоге и едукују особље о препознавању покушаја лажног представљања у које су укључене ауторитативне институције.

    У тренду

    Најгледанији

    Учитавање...