Pasitikėjimo ironija: CERT-UA apsimetinėjimo ir AGEWHEEZE kenkėjiškos programinės įrangos kampanijos analizė

Milijonas el. laiškų – kiekis, kuris priblokštų daugumą rinkodaros skyrių – buvo išsiųstas per vieną 48 valandų laikotarpį turint vieną tikslą: paversti ginklu patį pasitikėjimą, kurį vartotojai puoselėja nacionalinio saugumo agentūroms. 2026 m. kovo 26 ir 27 d. grėsmių sukėlėjų grupė, sekama kaip UAC-0255, pradėjo masinę sukčiavimo (phishing) kampaniją, apsimesdama Ukrainos kompiuterinių incidentų tyrimo tarnyba (CERT-UA). Prisidengdami pagrindiniu šalies kibernetinio saugumo gynėju, užpuolikai bandė platinti sudėtingą nuotolinės prieigos trojaną (RAT), žinomą kaip AGEWHEEZE.

Šis incidentas tarnauja kaip griežtas primenimas, kad socialinės inžinerijos pasaulyje, kuo autoritetingesnė kaukė, tuo pavojingesnis jaukas. Žvelgiant iš rizikos perspektyvos, šios operacijos mastas gniaužė kvapą, tačiau jos faktinis poveikis išliko keistai ribotas, išryškindamas žavingą virvės traukimą tarp didelės apimties automatizavimo ir šiuolaikinių gynybinių perimetrų atsparumo.

Sukčiavimo anatomija: skaitmeninis Trojos arklys

Kampanija buvo sukurta ant apgaulės pamatų. Užpuolikai naudojo el. pašto adresą „incidents@cert-ua[.]tech“, kad siųstų skubius įspėjimus valstybinėms organizacijoms, medicinos centrams ir finansų įstaigoms. El. laiškuose gavėjai buvo raginami atsisiųsti ir įdiegti tai, kas buvo apibūdinta kaip „specializuota programinė įranga“ apsaugai. Tikrovėje tai buvo skaitmeninis Trojos arklys.

Užkulisiuose nuoroda vedė į slaptažodžiu apsaugotą ZIP archyvą, patalpintą Files.fm svetainėje, pavadinimu „CERT_UA_protection_tool.zip“. Naudodami slaptažodžiu apsaugotą archyvą, užpuolikai siekė apeiti automatinius el. pašto skenerius, kuriems dažnai sunku patikrinti užšifruotą turinį. Kai vartotojas įvykdydavo instrukcijas ir paleisdavo failą, jis ne įdiegdavo saugumo įrankį, o atiduodavo savo skaitmeninės karalystės raktus.

Techninė apžvalga: kas yra AGEWHEEZE?

Architektūriniu lygmeniu AGEWHEEZE yra „Go“ kalba parašyta kenkėjiška programa, skirta visapusiškam sekimui ir kontrolei. „Go“ (arba „Golang“) tampa vis populiaresnė tarp kenkėjiškų programų autorių, nes ji leidžia lengvai kompiliuoti programas skirtingoms platformoms, o gauti dvejetainiai failai dažnai yra sunkiai analizuojami tradiciniams, parašais pagrįstiems antivirusiniams įrankiams.

Suaktyvinta AGEWHEEZE įsitvirtina sistemoje. Ji modifikuoja „Windows“ registrą, sukuria suplanuotas užduotis arba įsikelia į „Startup“ katalogą, kad užtikrintų savo veikimą po sistemos perkrovimo. Kalbant proaktyviai, ši programa sukurta visiškam dominavimui. Ji palaiko ryšį su valdymo ir kontrolės (C2) serveriu adresu „54.36.237[.]92“, naudodama „WebSockets“ – protokolą, kuris leidžia pilną dvipusį ryšį realiuoju laiku, todėl užpuoliko vykdomas užkrėsto įrenginio valdymas atrodo momentinis.

AGEWHEEZE palaikomų komandų rinkinys yra daugialypis ir įkyrus:

• Manipuliavimas sistema: savavališkų komandų vykdymas ir aktyvių procesų valdymas.
• Duomenų eksfiltracija: operacijos su failais ir iškarpinės (clipboard) turinio keitimas.
• Sekimas: ekrano nuotraukų darymas ir pelės ar klaviatūros įvesties emuliavimas.

Iš esmės užkrėstas įrenginys tampa lėle, kurios stygas iš tolo tampo grėsmės sukėlėjas.

Dirbtinio intelekto ryšys ir „Cyber Serp“ personažas

Vienas iš subtilesnių šios kampanijos aspektų yra infrastruktūros kilmė. Suklastotos „cert-ua[.]tech“ svetainės analizė rodo, kad didžioji dalis jos turinio ir kodo buvo sukurta pasitelkiant dirbtinį intelektą. Tai atspindi augančią tendenciją, kai DI mažina barjerą kuriant įtikinamus, lokalizuotus sukčiavimo jaukus.

HTML išeities kode buvo įterptas parašas: „С Любовью, КИБЕР СЕРП“ (Su meile, KIBERNETINIS SERPAS). Ši grupė, atsiradusi „Telegram“ tinkle 2025 m. pabaigoje, teigia esanti „kibernetinio pogrindžio“ operatyvinis dalinys. Nors jų retorika drąsi, techninis išpildymas šioje konkrečioje kampanijoje buvo kiek aplaidus. Nepaisant išsiųsto milijono laiškų, kampanija iš esmės buvo nesėkminga. CERT-UA pranešė, kad buvo pažeisti tik keli asmeniniai įrenginiai, daugiausia švietimo įstaigose.

Kodėl kampanija žlugo

Praktikoje, kodėl milijono laiškų ataka davė tokius menkus rezultatus? Tikėtina, kad tai lėmė „žmogiškoji užkarda“ ir institucinio saugumo branda. Dauguma šiuolaikinių įmonių pašto vartų dabar yra išmokyti žymėti panašius domenus (pavyzdžiui, .tech vietoj oficialaus .gov.ua). Be to, reikalavimas vartotojui rankiniu būdu atsisiųsti ZIP failą iš trečiosios šalies saugyklos, tokios kaip Files.fm, įvesti slaptažodį ir paleisti vykdomąjį failą yra sudėtingas procesas, kurį daugelis apmokytų darbuotojų dabar atpažįsta kaip pavojaus signalą.

Analizuodamas sudėtingas APT atakas, dažnai pastebiu, kad sėkmingiausi įsilaužimai nėra patys garsiausi. Didelės apimties kampanijos, tokios kaip ši, dažnai sukelia greitą aptikimą būtent dėl savo paplitimo. Vieno budraus vartotojo pranešimas gali lemti blokavimo sąrašo atnaujinimą, kuris neutralizuoja visą kampaniją per kelias minutes.

Pamokos ir praktiniai patarimai

Nepaisant mažo šios konkrečios atakos sėkmės rodiklio, apsimetinėjimas nacionaline CERT tarnyba yra sisteminė grėsmė, reikalaujanti tvirto atsako. Organizacijos turi peržengti paprasto informuotumo ribas ir judėti link „nulinio pasitikėjimo“ (zero-trust) mąstysenos, kai jokia komunikacija – net jei atrodo, kad ji ateina iš patikimos institucijos – nepriimama be patikrinimo.

Ką turėtumėte daryti toliau:

1. Audituokite pašto filtrus: įsitikinkite, kad jūsų saugumo vartai sukonfigūruoti aptikti ir karantinuoti el. laiškus iš panašių domenų bei tuos, kuriuose yra nuorodų į viešas failų dalinimosi svetaines.
2. Tikrinkite kitais kanalais: nustatykite politiką, kad bet kokie „privalomi“ saugumo programinės įrangos atnaujinimai iš išorinių agentūrų turi būti patikrinti per oficialius, iš anksto nustatytus kanalus arba pagrindinę agentūros .gov svetainę.
3. Sustiprinkite galinių įrenginių apsaugą: naudokite EDR (Endpoint Detection and Response) įrankius, kurie stebi specifinį AGEWHEEZE elgesį, pavyzdžiui, neteisėtus registro pakeitimus ir neįprastus „WebSocket“ ryšius su nežinomais IP adresais.
4. Švieskite apie „autoriteto jauką“: priminkite darbuotojams, kad užpuolikai dažnai apsimeta IT pagalba, personalo skyriumi ar vyriausybinėmis agentūromis, kad sukurtų klaidingą skubos pojūtį.

Galiausiai, skylių lopymas laivo korpuse yra veiksmingas tik tada, jei taip pat atidžiai stebite, ar kelyje nėra ledkalnių. UAC-0255 šį kartą galbūt patyrė nesėkmę, tačiau DI padedamo sukčiavimo evoliucija reiškia, kad kita jų kaukė tikriausiai bus dar įtikinamesnė.

Šaltiniai

• CERT-UA oficialios incidentų ataskaitos ir techninės apžvalgos.
• UAC-0255 ir AGEWHEEZE kenkėjiškos programinės įrangos grėsmių analizė.
• Kibernetinio saugumo pramonės analizė apie „Go“ pagrindu sukurtus nuotolinės prieigos trojanus.
• Vieši „Cyber Serp“ grupės „Telegram“ archyvai.