Uzticības ironija: CERT-UA personāža atdarināšanas un AGEWHEEZE ļaunprogrammatūras kampaņas analīze

Viens miljons e-pastu — apjoms, kas pārslogotu lielāko daļu mārketinga nodaļu — tika izsūtīti vienā 48 stundu logā ar vienu mērķi: vērst pret lietotājiem to pašu uzticību, ko tie velta valsts drošības iestādēm. 2026. gada 26. un 27. martā apdraudējumu izraisītāju grupa, kas identificēta kā UAC-0255, uzsāka masveida pikšķerēšanas kampaņu, uzdodoties par Ukrainas Datoru ārkārtas reaģēšanas vienību (CERT-UA). Maskējoties par valsts galveno kiberdrošības aizstāvi, uzbrucēji mēģināja izplatīt sarežģītu attālās piekļuves trojānu (RAT), kas pazīstams kā AGEWHEEZE.

Šis incidents kalpo kā spilgts atgādinājums, ka sociālās inženierijas pasaulē, jo autoritatīvāka ir maska, jo bīstamāka ir ēsma. No riska viedokļa šīs operācijas mērogs bija elpu aizraujošs, tomēr tās faktiskā ietekme saglabājās dīvaini ierobežota, izceļot aizraujošu cīņu starp liela apjoma automatizāciju un mūsdienu aizsardzības perimetru noturību.

Pikšķerēšanas anatomija: Digitālais Trojas zirgs

Kampaņa tika balstīta uz maldināšanu. Uzbrucēji izmantoja e-pasta adresi "incidents@cert-ua[.]tech", lai sūtītu steidzamus brīdinājumus valsts organizācijām, medicīnas centriem un finanšu iestādēm. E-pasti mudināja saņēmējus lejupielādēt un instalēt to, kas tika raksturots kā "specializēta programmatūra" aizsardzībai. Realitātē tas bija digitāls Trojas zirgs.

Aizkulisēs saite veda uz ar paroli aizsargātu ZIP arhīvu, kas tika mitināts vietnē Files.fm ar nosaukumu "CERT_UA_protection_tool.zip." Izmantojot ar paroli aizsargātu arhīvu, uzbrucēju mērķis bija apiet automatizētos e-pasta skenerus, kuriem bieži vien ir grūtības pārbaudīt šifrētu saturu. Tiklīdz lietotājs izpildīja norādījumus un palaida failu, viņš nevis instalēja drošības rīku, bet gan nodeva savas digitālās valstības atslēgas.

Tehniskā analīze: Kas ir AGEWHEEZE?

Arhitektūras līmenī AGEWHEEZE ir uz Go bāzēta ļaunprogrammatūra, kas paredzēta visaptverošai uzraudzībai un kontrolei. Go (vai Golang) ir kļuvusi arvien populārāka ļaunprogrammatūru autoru vidū, jo tā ļauj viegli veikt starpplatformu kompilāciju un bieži rada bināros failus, kurus tradicionālajiem parakstu bāzes antivīrusu rīkiem ir grūti analizēt.

Pēc aktivizēšanas AGEWHEEZE izveido pastāvīgu klātbūtni. Tā modificē Windows reģistru, izveido plānotos uzdevumus vai ievieto sevi Startup direktorijā, lai nodrošinātu izdzīvošanu pēc sistēmas restartēšanas. Runājot proaktīvi, ļaunprogrammatūra ir izstrādāta pilnīgai dominancei. Tā sazinās ar vadības un kontroles (C2) serveri "54.36.237[.]92", izmantojot WebSockets — protokolu, kas nodrošina pilnu duplekso, reāllaika saziņu, padarot uzbrucēja kontroli pār inficēto mašīnu tūlītēju.

AGEWHEEZE atbalstītais komandu komplekts ir daudzpusīgs un invazīvs:

• Sistēmas manipulācijas: Patvaļīgu komandu izpilde un aktīvo procesu pārvaldība.
• Datu eksfiltrācija: Failu operāciju veikšana un starpliktuves satura modificēšana.
• Uzraudzība: Ekrānuzņēmumu uzņemšana un peles vai tastatūras ievades emulēšana.

Būtībā inficētā ierīce kļūst par marioneti, kuras auklas no tālienes rausta apdraudējuma izraisītājs.

Mākslīgā intelekta saikne un "Cyber Serp" tēls

Viens no niansētākajiem šīs kampaņas aspektiem ir infrastruktūras izcelsme. Viltus "cert-ua[.]tech" tīmekļa vietnes analīze liecina, ka liela daļa tās satura un koda tika ģenerēta ar mākslīgā intelekta palīdzību. Tas atspoguļo pieaugošu tendenci, kur MI pazemina iestāšanās barjeru pārliecinošu, lokalizētu pikšķerēšanas ēsmu izveidei.

HTML pirmkodā bija iestrādāts paraksts: "С Любовью, КИБЕР СЕРП" (Ar mīlestību, KIBER SERP). Šī grupa, kas parādījās Telegram 2025. gada beigās, apgalvo, ka ir "kiberpagrīdes" operatīvā vienība. Lai gan viņu retorika ir drosmīga, viņu tehniskais izpildījums šajā konkrētajā kampaņā bija nedaudz paviršs. Neskatoties uz miljona e-pastu izsūtīšanu, kampaņa lielākoties bija neveiksmīga. CERT-UA ziņoja, ka tika kompromitētas tikai dažas personīgās ierīces, galvenokārt izglītības iestādēs.

Kāpēc kampaņa cieta neveiksmi

Kāpēc praksē miljona e-pastu vilnis deva tik zemu rezultātu? Visticamāk, tas skaidrojams ar "cilvēka ugunsmūri" un institucionālās drošības briedumu. Lielākā daļa mūsdienu uzņēmumu pasta vārteju tagad ir apmācītas atzīmēt līdzīgus domēnus (piemēram, .tech oficiālā .gov.ua vietā). Turklāt prasība lietotājam manuāli lejupielādēt ZIP no trešās puses mitināšanas vietnes, piemēram, Files.fm, ievadīt paroli un palaist izpildāmo failu, ir process ar lielu berzi, ko daudzi apmācīti darbinieki tagad atpazīst kā "sarkano karogu".

Analizējot sarežģītus APT uzbrukumus, esmu bieži novērojis, ka veiksmīgākie pārkāpumi nav tie skaļākie. Liela apjoma kampaņas bieži izraisa ātru atklāšanu tieši tāpēc, ka tās ir tik izplatītas. Viens ziņojums no viena modra lietotāja var novest pie bloķēšanas saraksta atjaunināšanas, kas dažu minūšu laikā neitralizē visu kampaņu.

Mācības un rīcības plāns

Neraugoties uz šī konkrētā uzbrukuma zemo panākumu līmeni, uzdošanās par nacionālo CERT ir sistēmisks drauds, kam nepieciešama stingra reakcija. Organizācijām ir jāpāriet no vienkāršas informētības uz "nulles uzticības" domāšanu, kur neviena komunikācija — pat ja tā šķietami nāk no uzticamas iestādes — netiek pieņemta bez pārbaudes.

Ko darīt tālāk:

1. Auditējiet pasta filtrus: Pārliecinieties, ka jūsu drošības vārteja ir konfigurēta, lai atklātu un karantīnā ievietotu e-pastus no līdzīgiem domēniem un tiem, kas satur saites uz publiskām failu koplietošanas vietnēm.
2. Pārbaudiet ārpus ierastajiem kanāliem: Ieviesiet politiku, ka visi "obligātie" drošības programmatūras atjauninājumi no ārējām aģentūrām ir jāpārbauda, izmantojot oficiālus, iepriekš izveidotus kanālus vai aģentūras galveno .gov vietni.
3. Stipriniet galiekārtu aizsardzību: Izmantojiet EDR (Endpoint Detection and Response) rīkus, kas uzrauga specifisku AGEWHEEZE uzvedību, piemēram, neautorizētas reģistra modifikācijas un neparastus WebSocket savienojumus ar nezināmām IP adresēm.
4. Izglītojiet par "autoritātes ēsmu": Atgādiniet darbiniekiem, ka uzbrucēji bieži uzdodas par IT atbalstu, personāla nodaļu vai valsts iestādēm, lai radītu viltus steidzamības sajūtu.

Galu galā caurumu lāpīšana kuģa korpusā ir efektīva tikai tad, ja jūs arī uzmanīgi vērojat aisbergus. UAC-0255 šoreiz varēja ciest neveiksmi, taču MI atbalstītās pikšķerēšanas evolūcija nozīmē, ka nākamā maska, ko viņi valkās, visticamāk, būs vēl pārliecinošāka.

Avoti

• CERT-UA oficiālie incidentu ziņojumi un tehniskie brīfingi.
• Threat Intelligence Analysis on UAC-0255 and AGEWHEEZE Malware.
• Cybersecurity industry analysis of Go-based Remote Access Trojans.
• Public Telegram archives of the "Cyber Serp" group.