विश्वास की विडंबना: CERT-UA प्रतिरूपण और AGEWHEEZE मैलवेयर अभियान का विश्लेषण
दस लाख ईमेल—एक ऐसी मात्रा जो अधिकांश मार्केटिंग विभागों को अभिभूत कर देगी—एक ही 48 घंटे की अवधि में एक लक्ष्य के साथ भेजे गए थे: राष्ट्रीय सुरक्षा एजेंसियों में उपयोगकर्ताओं के भरोसे को हथियार बनाना। 26 और 27 मार्च, 2026 को, UAC-0255 के रूप में ट्रैक किए गए थ्रेट एक्टर समूह ने यूक्रेन की कंप्यूटर इमरजेंसी रिस्पांस टीम (CERT-UA) का प्रतिरूपण करते हुए एक बड़े पैमाने पर फ़िशिंग अभियान शुरू किया। राष्ट्र के प्राथमिक साइबर सुरक्षा रक्षक के रूप में छद्म रूप धारण करके, हमलावरों ने AGEWHEEZE के रूप में जाने जाने वाले एक परिष्कृत रिमोट एक्सेस ट्रोजन (RAT) को वितरित करने का प्रयास किया।
यह घटना एक कड़े अनुस्मारक के रूप में कार्य करती है कि सोशल इंजीनियरिंग की दुनिया में, मुखौटा जितना आधिकारिक होता है, प्रलोभन उतना ही खतरनाक होता है। जोखिम के दृष्टिकोण से, इस ऑपरेशन का पैमाना लुभावना था, फिर भी इसका वास्तविक प्रभाव आश्चर्यजनक रूप से सीमित रहा, जो उच्च-मात्रा स्वचालन और आधुनिक रक्षात्मक सीमाओं के लचीलेपन के बीच एक दिलचस्प खींचतान को उजागर करता है।
फ़िशिंग की शारीरिक रचना: एक डिजिटल ट्रोजन हॉर्स
यह अभियान धोखे की नींव पर बनाया गया था। हमलावरों ने राज्य संगठनों, चिकित्सा केंद्रों और वित्तीय संस्थानों को तत्काल चेतावनी भेजने के लिए ईमेल पते "incidents@cert-ua[.]tech" का उपयोग किया। ईमेल ने प्राप्तकर्ताओं को सुरक्षा के लिए "विशेष सॉफ़्टवेयर" के रूप में वर्णित चीज़ को डाउनलोड और इंस्टॉल करने का आग्रह किया। वास्तव में, यह एक डिजिटल ट्रोजन हॉर्स था।
पर्दे के पीछे, लिंक Files.fm पर होस्ट किए गए एक पासवर्ड-सुरक्षित ZIP आर्काइव की ओर ले गया, जिसका शीर्षक "CERT_UA_protection_tool.zip" था। पासवर्ड-सुरक्षित आर्काइव का उपयोग करके, हमलावरों का लक्ष्य स्वचालित ईमेल स्कैनर को बायपास करना था जो अक्सर एन्क्रिप्टेड सामग्री का निरीक्षण करने में संघर्ष करते हैं। एक बार जब उपयोगकर्ता ने निर्देशों का पालन किया और फ़ाइल को निष्पादित किया, तो वे सुरक्षा उपकरण स्थापित नहीं कर रहे थे; वे अपने डिजिटल साम्राज्य की चाबियाँ सौंप रहे थे।
तकनीकी गहरा गोता: AGEWHEEZE क्या है?
वास्तुकला के स्तर पर, AGEWHEEZE एक Go-आधारित मैलवेयर है जिसे व्यापक निगरानी और नियंत्रण के लिए डिज़ाइन किया गया है। Go (या Golang) मैलवेयर लेखकों के बीच तेजी से लोकप्रिय हो गया है क्योंकि यह आसान क्रॉस-प्लेटफ़ॉर्म संकलन की अनुमति देता है और अक्सर ऐसे बाइनरी बनाता है जिन्हें पारंपरिक हस्ताक्षर-आधारित एंटीवायरस टूल के लिए पार्स करना मुश्किल होता है।
एक बार सक्रिय होने के बाद, AGEWHEEZE एक स्थायी पैर जमा लेता है। यह विंडोज रजिस्ट्री को संशोधित करता है, अनुसूचित कार्य (scheduled tasks) बनाता है, या सिस्टम रीबूट के बाद जीवित रहने को सुनिश्चित करने के लिए खुद को स्टार्टअप निर्देशिका में डाल देता है। सक्रिय रूप से कहें तो, मैलवेयर पूर्ण प्रभुत्व के लिए बनाया गया है। यह WebSockets का उपयोग करके "54.36.237[.]92" पर एक कमांड-एंड-कंट्रोल (C2) सर्वर के साथ संचार करता है—एक ऐसा प्रोटोकॉल जो पूर्ण-डुप्लेक्स, वास्तविक समय संचार की अनुमति देता है, जिससे संक्रमित मशीन पर हमलावर का नियंत्रण तात्कालिक महसूस होता है।
AGEWHEEZE द्वारा समर्थित कमांड सेट बहुआयामी और दखल देने वाला है:
- सिस्टम हेरफेर: मनमाने कमांड निष्पादित करना और सक्रिय प्रक्रियाओं का प्रबंधन करना।
- डेटा एक्सफ़िल्ट्रेशन: फ़ाइल संचालन करना और क्लिपबोर्ड सामग्री को संशोधित करना।
- निगरानी: स्क्रीनशॉट लेना और माउस या कीबोर्ड इनपुट का अनुकरण करना।
अनिवार्य रूप से, एक संक्रमित डिवाइस एक कठपुतली बन जाता है, जिसमें थ्रेट एक्टर दूर से डोरियाँ खींचता है।
AI कनेक्शन और "साइबर सर्प" व्यक्तित्व
इस अभियान के अधिक सूक्ष्म पहलुओं में से एक बुनियादी ढांचे की उत्पत्ति है। फर्जी "cert-ua[.]tech" वेबसाइट के विश्लेषण से पता चलता है कि इसकी अधिकांश सामग्री और कोड कृत्रिम बुद्धिमत्ता (AI) की सहायता से तैयार किए गए थे। यह एक बढ़ते चलन को दर्शाता है जहां AI ठोस, स्थानीयकृत फ़िशिंग प्रलोभन बनाने के लिए प्रवेश की बाधा को कम करता है।
HTML सोर्स कोड में एक हस्ताक्षर एम्बेडेड था: "С Любовью, КИБЕР СЕРП" (With Love, CYBER SERP)। यह समूह, जो 2025 के अंत में टेलीग्राम पर उभरा, एक "साइबर-अंडरग्राउंड" ऑपरेटिव यूनिट होने का दावा करता है। जबकि उनकी बयानबाजी साहसी है, इस विशिष्ट अभियान में उनका तकनीकी निष्पादन कुछ हद तक लापरवाह था। दस लाख ईमेल भेजने के बावजूद, अभियान काफी हद तक असफल रहा। CERT-UA ने बताया कि केवल कुछ व्यक्तिगत डिवाइस, मुख्य रूप से शैक्षणिक संस्थानों के भीतर, वास्तव में प्रभावित हुए थे।
अभियान क्यों विफल रहा
व्यवहार में, दस लाख ईमेल के धमाके ने इतने कम परिणाम क्यों दिए? यह संभवतः "मानव फ़ायरवॉल" और संस्थागत सुरक्षा की परिपक्वता पर निर्भर करता है। अधिकांश आधुनिक एंटरप्राइज़ मेल गेटवे अब मिलते-जुलते डोमेन (जैसे आधिकारिक .gov.ua के बजाय .tech) को फ़्लैग करने के लिए प्रशिक्षित हैं। इसके अलावा, उपयोगकर्ता के लिए Files.fm जैसी तृतीय-पक्ष होस्टिंग साइट से मैन्युअल रूप से ZIP डाउनलोड करने, पासवर्ड दर्ज करने और एक निष्पादन योग्य फ़ाइल चलाने की आवश्यकता एक उच्च-घर्षण प्रक्रिया है जिसे अब कई प्रशिक्षित कर्मचारी एक खतरे के संकेत (red flag) के रूप में पहचानते हैं।
जटिल APT हमलों का विश्लेषण करने के अपने समय के दौरान, मैंने अक्सर देखा है कि सबसे सफल उल्लंघन वे नहीं होते जो सबसे ज्यादा शोर मचाते हैं। इस तरह के उच्च-मात्रा वाले अभियान अक्सर तेजी से पहचान को सक्रिय करते हैं क्योंकि वे बहुत व्यापक होते हैं। एक सतर्क उपयोगकर्ता की एक रिपोर्ट ब्लॉकलिस्ट अपडेट का कारण बन सकती है जो मिनटों के भीतर पूरे अभियान को बेअसर कर देती है।
सबक और कार्रवाई योग्य सुझाव
इस विशिष्ट हमले की कम सफलता दर के बावजूद, राष्ट्रीय CERT का प्रतिरूपण एक प्रणालीगत खतरा है जिसके लिए मजबूत प्रतिक्रिया की आवश्यकता है। संगठनों को सरल जागरूकता से आगे बढ़कर जीरो-ट्रस्ट मानसिकता की ओर बढ़ना चाहिए जहां कोई भी संचार—भले ही वह किसी विश्वसनीय प्राधिकरण से आता हुआ प्रतीत हो—बिना सत्यापन के स्वीकार नहीं किया जाता है।
आपको आगे क्या करना चाहिए:
- अपने मेल फ़िल्टर का ऑडिट करें: सुनिश्चित करें कि आपका सुरक्षा गेटवे मिलते-जुलते डोमेन और सार्वजनिक फ़ाइल-साझाकरण साइटों के लिंक वाले ईमेल का पता लगाने और उन्हें क्वारंटाइन करने के लिए कॉन्फ़िगर किया गया है।
- आउट-ऑफ-बैंड सत्यापित करें: एक नीति स्थापित करें कि बाहरी एजेंसियों से किसी भी "अनिवार्य" सुरक्षा सॉफ़्टवेयर अपडेट को आधिकारिक, पूर्व-स्थापित चैनलों या एजेंसी की प्राथमिक .gov वेबसाइट के माध्यम से सत्यापित किया जाना चाहिए।
- एंडपॉइंट सुरक्षा को मजबूत करें: EDR (एंडपॉइंट डिटेक्शन एंड रिस्पांस) टूल का उपयोग करें जो उन विशिष्ट व्यवहारों की निगरानी करते हैं जो AGEWHEEZE प्रदर्शित करता है, जैसे अनधिकृत रजिस्ट्री संशोधन और अज्ञात IP के लिए असामान्य WebSocket कनेक्शन।
- "प्राधिकरण के प्रलोभन" पर शिक्षित करें: कर्मचारियों को याद दिलाएं कि हमलावर अक्सर तात्कालिकता की झूठी भावना पैदा करने के लिए आईटी सहायता, मानव संसाधन या सरकारी एजेंसियों का प्रतिरूपण करते हैं।
अंततः, जहाज के पतवार में छेद बंद करने के रूप में पैचिंग तभी प्रभावी होती है जब आप हिमशैल (icebergs) पर भी कड़ी नज़र रखते हैं। UAC-0255 इस बार विफल रहा होगा, लेकिन AI-सहायता प्राप्त फ़िशिंग के विकास का मतलब है कि अगला मुखौटा जो वे पहनेंगे वह संभवतः और भी विश्वसनीय होगा।
स्रोत
- CERT-UA आधिकारिक घटना रिपोर्ट और तकनीकी ब्रीफिंग।
- Threat Intelligence Analysis on UAC-0255 and AGEWHEEZE Malware.
- Cybersecurity industry analysis of Go-based Remote Access Trojans.
- Public Telegram archives of the "Cyber Serp" group.
आप दूसरी तरफ देखिए।
हमारा एंड-टू-एंड एन्क्रिप्टेड ईमेल और क्लाउड स्टोरेज समाधान सुरक्षित डेटा एक्सचेंज का सबसे शक्तिशाली माध्यम प्रदान करता है, जो आपके डेटा की सुरक्षा और गोपनीयता सुनिश्चित करता है।
/ एक नि: शुल्क खाता बनाएं
