AGEWHEEZE RAT

網路安全分析師發現了一起有針對性的網路釣魚行動，攻擊者冒充烏克蘭電腦緊急應變小組（CERT），散佈名為AGEWHEEZE的遠端管理工具。此行動被認為是UAC-0255組織所為，其主要手段是於2026年3月26日和27日發送欺騙性電子郵件，誘騙收件人安裝所謂的「專用軟體」。

這些郵件包含指向託管在 Files.fm 上的受密碼保護的 ZIP 壓縮包的連結。該壓縮包名為 CERT_UA_protection_tool.zip，偽裝成合法的安全工具，但實際上包含惡意程式碼。部分郵件的寄件者地址為偽造的“incidents@cert-ua.tech”，進一步增強了其真實性的假象。

目標特徵和攻擊範圍

此次行動範圍廣泛，目標涵蓋了對國家基礎設施和公共服務至關重要的各類機構，其中包括：

• 政府和國家機構
• 醫療和保健設施
• 安全和國防相關公司
• 教育機構
• 金融機構
• 軟體開發公司

儘管採取了廣泛的目標策略，但此次防治活動的整體效果似乎有限。僅確診了少量感染病例，主要影響教育機構員工的個人設備。

AGEWHEEZE內部結構：功能與持久性機制

AGEWHEEZE 是一款基於 Go 語言的遠端存取木馬，旨在對系統進行廣泛的控制和監控。部署後，它會使用 WebSocket 協定與位於 54.36.237.92 的命令與控制伺服器建立通訊。

該惡意軟體使攻擊者能夠執行各種惡意活動，包括：

• 執行任意命令和管理系統進程
• 執行檔案操作和處理儲存的數據
• 截取螢幕截圖並監控使用者活動
• 模擬滑鼠和鍵盤輸入
• 更改剪貼簿內容

AGEWHEEZE 的這些功能組合使其成為間諜活動、橫向移動和長期系統入侵的多功能工具。

欺騙性基礎設施和人工智慧輔助製造

詐欺域名「cert-ua.tech」的調查顯示，該網站可能由自動化或人工智慧輔助開發。該網站的HTML原始碼中包含一條引人注目的俄語註釋：「С Любовью, КИБЕР СЕРП」（「With Love, CYBER SERP」），暗示該網站可能出自一個名為Cyber Serp的組織。

Cyber Serp 透過其 Telegram 頻道聲稱與烏克蘭網路地下組織有關。該頻道創建於 2025 年 11 月，目前已累積了 700 多名訂閱者。該組織公開宣稱，其網路釣魚活動的目標是多達一百萬個電子郵件帳戶，並導致超過 20 萬台設備被入侵，這些數字遠超獨立評估的結果。

相互矛盾的說法和更廣泛的威脅活動

Cyber Serp試圖將自己定位為選擇性攻擊者，聲稱其行動不會影響一般民眾。然而，這種說法與大規模網路釣魚活動的無差別攻擊性質並不相符。

在另一起事件中，該組織聲稱對入侵 Cipher 公司負責，並聲稱獲得了伺服器資料、客戶資料庫和專有原始程式碼的存取權。 Cipher 公司隨後證實，其係統遭到有限洩露，涉及一名員工的憑證，但強調：

• 核心基礎設施保持安全運作狀態
• 受影響的帳戶僅能存取一個非敏感項目。

這種差異凸顯了威脅行為者的常見策略，即誇大影響以增強其感知到的影響力和可信度。

評估與安全影響

這項攻擊活動表明，冒充策略依然有效，尤其是在利用可信任的國家網路安全機構時。雖然其直接影響已被控制，但AGEWHEEZE的技術複雜性和試圖傳播的規模表明，網路威脅情勢持續存在且不斷演變。

建議各組織加強電子郵件驗證流程，仔細審查未經請求的附件，並對員工進行培訓，使其能夠識別涉及權威機構的冒充行為。