Попуст за више лиценци
Тхреат Датабасе Напредна трајна претња (АПТ) GREYVIBE Претња актера

GREYVIBE Претња актера

До Mezo. у Напредна трајна претња (АПТ), Малваре
Преведи на:

Раније неидентификовани актер претње познат као GREYVIBE повезан је са континуираном кампањом сајбер шпијунаже усмереном на Украјину и организације повезане са земљом најмање од августа 2025. године. Анализе сугеришу да група делује првенствено у руској временској зони и комуницира на руском језику. Њене активности су уско повезане са интересима руске државе, посебно са напорима прикупљања обавештајних података у вези са текућим руско-украјинским сукобом.

GREYVIBE је циљао широк спектар сектора, укључујући војне институције, владине агенције, цивилне организације и приватна предузећа. Иако операције групе показују карактеристике повезане са активностима националних држава, докази такође указују на везе са ширим руским сајбер криминалним пејзажом преко појединаца за које се верује да су садашњи или бивши актери сајбер криминала.

Разноврсне методе инфекције и арсенал прилагођеног злонамерног софтвера

Претећи актер користи разне механизме испоруке како би компромитовао жртве. То укључује високо циљане фишинг кампање, обмањујуће CAPTCHA странице за верификацију и лажне веб странице за забаву одраслих са украјинском тематиком. У свом пословању, GREYVIBE се стално ослања на интерно развијени злонамерни софтвер, програме за учитавање података и алате за обфускацију како би избегао откривање и одржао приступ компромитованим системима.

Примећено је неколико различитих оквира напада:

  • PhantomMail дистрибуира злонамерне ZIP и RAR архиве путем фишинг имејлова који садрже линкове хостоване на Google диску и 4sync-у. Ове архиве укључују JavaScript учитаваче који покрећу мамце док користе PhantomRelay, тројанца за даљински приступ (RAT) заснованог на PowerShell-у, способног за извиђање система и даљинско извршавање команди.
  • PhantomClick користи лажне CAPTCHA странице у стилу ClickFix-а које се хостују на доменима који се лажно представљају као сервиси као што су Zoom и LAPAS. Жртве се манипулишу да извршавају команде које покрећу ланац инфекције PhantomRelay-ом.
  • PrincessClub користи лажне веб странице украјинских клубова за одрасле за дистрибуцију шпијунског софтвера FallSpy на Андроид уређајима и PhantomRelayV1 или LegionRelay на Виндовс системима. Касније верзије ових веб страница укључивале су функционалност позива уживо засновану на WebRTC-у за снимање звука и видеа жртава. FallSpy је способан да прикупља осетљиве информације са заражених Андроид уређаја, док LegionRelay подржава откривање датотека, крађу података, снимање екрана, издвајање података прегледача, прикупљање података из Телеграма и WhatsApp-а и конфигурацију протокола за удаљену радну површину (RDP). PhantomRelayV1 проширује оригинални PhantomRelay додавањем прилагођеног механизма перзистентности чувара.
  • DroneLink се маскира као добротворне организације које подржавају Оружане снаге Украјине и испоручује WireGuard заједно са LegionRelay-ом.
  • Небо користи варијанту FallSpy-а прерушену у портал за пријаву на руском језику, вероватно са намером да обмане украјинско војно особље и да га наведе да верује да приступа легитимном руском војном систему.

Вештачка интелигенција као мултипликатор силе

Један од најзначајнијих аспеката рада групе GREYVIBE је њено очигледно ослањање на генеративну вештачку интелигенцију и моделе великих језика како би се побољшале офанзивне способности. Докази указују на то да је група користила платформе као што су Ideogram AI, OpenAI ChatGPT и Google Gemini како би помогла у генерисању слика, развоју злонамерног софтвера, обфускацији скрипти, креирању бекенд инфраструктуре и операцијама након компромитовања.

Овај приступ уз помоћ вештачке интелигенције нуди неколико оперативних предности. Помаже у надокнађивању недостатака техничких вештина, убрзава развојне циклусе и смањује зависност од претходно идентификованих породица злонамерних програма и алата који би могли олакшати атрибуцију.

Растућа употреба вештачке интелигенције у сајбер операцијама представља значајан изазов за браниоце. Претње могу брзо да генеришу, модификују или замене компоненте својих алата, смањујући ефикасност традиционалних метода атрибуције које се ослањају на стабилне техничке индикаторе и понављајуће артефакте злонамерног софтвера.

Оперативне слабости откривају развојне недостатке

Упркос користима од развоја уз помоћ вештачке интелигенције, GREYVIBE је показао вишеструке недостатке у оперативној безбедности. Истраживачи су идентификовали недостатке у дизајну унутар LegionRelay-а који су ненамерно открили функционалност бекенда, пружајући увид у унутрашње операције малвера.

Такве грешке су генерално неуобичајене међу високо софистицираним актерима које спонзорише држава, што сугерише да GREYVIBE можда не представља традиционалну операцију обавештајне службе. Уместо тога, чини се да група поседује ниску до умерену техничку софистицираност, док истовремено користи технологије вештачке интелигенције како би унапредила могућности изнад свог инхерентног нивоа вештина.

Индикатори веза са сајбер криминалом

Вишеструки налази указују на то да GREYVIBE одржава везе са ширим руским екосистемом сајбер криминала:

  • Приступ или коришћење услужног програма за израду ISO образаца повезаног са сумњивим везама са бандом TrickBot и UAC-0098.
  • Детекција варијанти PhantomRelay-а унутар наизглед неповезаних сајбер криминалних кампања, укључујући операције гласовног фишинга Microsoft Teams-а спроведене између јула 2025. и фебруара 2026. и кампање испоруке KongTuke-а посматране између фебруара и марта 2026. које су користиле технике ClickFix-а.
  • Отпремања узорака у раној фази развоја и тестирања.
  • Употреба неформалног интернет сленга као што су „letsrollboyos“, „totallyunsus“ и „cuteuwu“ у конвенцијама именовања артефаката у развоју.
  • Распоређивање XMRig рудара криптовалута на ограниченом броју система заражених LegionRelay-ом.

Ови индикатори подржавају процену умереног поверења да GREYVIBE има значајне везе са мрежама сајбер криминала и процену ниског до умереног поверења да неки чланови тренутно јесу или су раније били укључени у активности сајбер криминала.

Замагљивање границе између државних и криминалних операција

Прецизна природа односа GREYVIBE-а са руском државом остаје неизвесна. Постоји неколико могућности, укључујући интеграцију сајбер криминалног особља у организацију коју подржава држава, независне оператере који обављају државне задатке или формирање хибридне структуре која комбинује криминалне и државне елементе.

Као резултат тога, GREYVIBE заузима сложен простор између традиционалног сајбер криминала и сајбер операција повезаних са владом. Ово преклапање компликује напоре за приписивање и истиче све замагљеније границе између финансијски мотивисаних сајбер криминалних активности и обавештајних операција које спонзорише држава.

У тренду

Превара путем е-поште за сарадњу на LinkedIn-у

Пецање, Спам
Сајбер криминалци који стоје иза преваре „Сарадња на LinkedIn-у“ покушавају да намаме примаоце оним што изгледа као професионални пословни упит. У имејловима се тврди да потичу од купца по имену „Џонатан Спригс“ из компаније Storex Trading Ltd., који је наводно открио примаоца преко LinkedIn-а и жели да разговара о великој поруџбини производа која укључује 12.000 јединица. Да би порука...

Ваш Microsoft Outlook клијент за е-пошту је...

Пецање, Спам
Имејлови са поруком „Ваш Microsoft Outlook имејл клијент је застарео“ су фишинг поруке направљене да изгледају као званична безбедносна обавештења из Microsoft Outlook-а. Имејлови упозоравају примаоце да је њихов имејл клијент наводно застарео и тврде да би, уколико се не ажурира одмах, могли да изгубе имејлове, контакте, календаре, састанке и друге важне податке о налогу. Да би порука деловала...

Најгледанији

Учитавање...