Multi-License Discount Quote
Banta sa Database Remote Administration Tools AGEWHEEZE RAT

AGEWHEEZE RAT

Sa pamamagitan ng Mezo sa Remote Administration Tools, Advanced Persistent Threat (APT)
Isalin To:

Natuklasan ng mga cybersecurity analyst ang isang naka-target na operasyon ng phishing kung saan ang mga threat actor ay nagpanggap na Computer Emergency Response Team ng Ukraine upang mamahagi ng isang remote administration tool na kilala bilang AGEWHEEZE. Ang kampanya, na iniuugnay sa grupong UAC-0255, ay umasa sa mga mapanlinlang na email na ipinadala noong Marso 26 at 27, 2026, na humihimok sa mga tatanggap na i-install ang inilarawan bilang 'espesyal na software.'

Ang mga email na ito ay naglalaman ng mga link patungo sa isang archive ng ZIP na protektado ng password na naka-host sa Files.fm. Ang archive, na pinangalanang CERT_UA_protection_tool.zip, ay ipinakita bilang isang lehitimong security utility ngunit sa halip ay naghatid ng mga malisyosong payload. Ang ilang mensahe ay nagmula sa pekeng address na 'incidents@cert-ua.tech,' na lalong nagpapatibay sa ilusyon ng pagiging tunay.

Profile ng Target at Abot ng Pag-atake

Malawak ang naging epekto ng operasyon, na tinarget ang iba't ibang organisasyon na mahalaga sa pambansang imprastraktura at mga serbisyong pampubliko. Kabilang dito ang:

  • Mga institusyon ng gobyerno at estado
  • Mga pasilidad medikal at pangangalagang pangkalusugan
  • Mga kompanyang may kaugnayan sa seguridad at depensa
  • Mga organisasyong pang-edukasyon
  • Mga institusyong pinansyal
  • Mga kompanya ng pagbuo ng software

Sa kabila ng malawak na estratehiya sa pag-target, ang pangkalahatang bisa ng kampanya ay tila limitado. Kaunting bilang lamang ng mga impeksyon ang nakumpirma, na pangunahing nakakaapekto sa mga personal na aparato ng mga empleyado sa loob ng mga institusyong pang-edukasyon.

Sa Loob ng AGEWHEEZE: Mga Kakayahan at Mekanismo ng Pagtitiyaga

Ang AGEWHEEZE ay isang Go-based remote access trojan na ginawa para sa malawakang pagkontrol at pagmamatyag ng sistema. Kapag na-deploy na, nagtatatag ito ng komunikasyon sa isang command-and-control server sa 54.36.237.92 gamit ang mga protocol ng WebSocket.

Ang malware ay nagbibigay-daan sa mga umaatake na magsagawa ng malawak na hanay ng mga malisyosong aktibidad, kabilang ang:

  • Pagpapatupad ng mga arbitraryong utos at pamamahala ng mga proseso ng system
  • Pagsasagawa ng mga operasyon sa file at pagmamanipula ng nakaimbak na data
  • Pagkuha ng mga screenshot at pagsubaybay sa aktibidad ng user
  • Paggaya sa mga input ng mouse at keyboard
  • Pagbabago ng mga nilalaman ng clipboard
  • Pagpapanatili ng pagtitiyaga sa pamamagitan ng mga naka-iskedyul na gawain, mga pagbabago sa Windows Registry, o paglalagay ng direktoryo ng Startup

    • Ang kombinasyon ng mga tampok na ito ay ginagawang maraming gamit ang AGEWHEEZE para sa paniniktik, paggalaw sa gilid, at pangmatagalang pagkompromiso sa sistema.

    Mapanlinlang na Imprastraktura at Paggawa na Tinutulungan ng AI

    Ang imbestigasyon sa mapanlinlang na domain na 'cert-ua.tech' ay nagsiwalat ng mga indikasyon ng automated o AI-assisted development. Ang HTML source code ng website ay naglalaman ng isang kapansin-pansing komento sa wikang Ruso: 'С Любовью, КИБЕР СЕРП' ('With Love, CYBER SERP'), na nagmumungkahi ng pag-uugnay sa isang grupong tinatawag ang sarili nitong Cyber Serp.

    Inangkin ng Cyber Serp ang kaugnayan nito sa mga cyber-underground circle ng Ukraine sa pamamagitan ng Telegram channel nito, na itinatag noong Nobyembre 2025 at nakapag-ipon na ng mahigit 700 subscriber. Hayagan nang iginiit ng grupo na ang kampanyang phishing ay tumatarget ng hanggang isang milyong email account at nagresulta sa mahigit 200,000 nakompromisong device, mga bilang na higit na lumampas sa mga independiyenteng pagtatasa.

    Mga Magkasalungat na Pag-aangkin at Mas Malawak na Aktibidad ng Banta

    Tinangka ng Cyber Serp na iposisyon ang sarili bilang isang mapiling aktor, na inaangkin na ang mga ordinaryong mamamayan ay hindi maaapektuhan ng mga operasyon nito. Gayunpaman, ang mga naturang pahayag ay hindi naaayon sa walang pinipiling katangian ng malawakang mga kampanya sa phishing.

    Sa isang hiwalay na insidente, inangkin ng grupo ang responsibilidad sa paglabag sa Cipher, na umano'y nag-access sa data ng server, mga database ng kliyente, at proprietary source code. Kalaunan ay kinumpirma ng Cipher ang isang limitadong kompromiso na kinasasangkutan ng mga kredensyal ng isang empleyado ngunit binigyang-diin na:

    • Nanatiling ligtas at gumagana ang pangunahing imprastraktura
    • Ang apektadong account ay may access lamang sa isang hindi sensitibong proyekto

    Itinatampok ng pagkakaibang ito ang isang karaniwang taktika sa mga aktor ng pagbabanta, na pinalalaki ang epekto upang palakasin ang pinaghihinalaang impluwensya at kredibilidad.

    Pagtatasa at mga Implikasyon sa Seguridad

    Ipinapakita ng kampanya ang patuloy na bisa ng mga taktika ng panggagaya, lalo na kapag ginagamit ang mga pinagkakatiwalaang pambansang entidad ng cybersecurity. Bagama't napigilan ang agarang epekto, ang teknikal na sopistikasyon ng AGEWHEEZE at ang laki ng pagtatangkang ipamahagi ay nagpapahiwatig ng isang patuloy at umuusbong na tanawin ng banta.

    Pinapayuhan ang mga organisasyon na palakasin ang mga proseso ng pag-verify ng email, suriing mabuti ang mga hindi hinihinging attachment, at turuan ang mga tauhan sa pagkilala sa mga pagtatangka ng panggagaya na kinasasangkutan ng mga awtoridad.

    Trending

    Pinaka Nanood

    Naglo-load...