Ирония доверия: анализ кампании по имитации CERT-UA и распространению вредоносного ПО AGEWHEEZE

Один миллион электронных писем — объем, который перегрузил бы большинство отделов маркетинга — был разослан в течение одного 48-часового окна с одной целью: превратить в оружие то самое доверие, которое пользователи испытывают к агентствам национальной безопасности. 26 и 27 марта 2026 года группа киберпреступников, отслеживаемая как UAC-0255, запустила масштабную фишинговую кампанию, выдавая себя за Команду реагирования на компьютерные чрезвычайные ситуации Украины (CERT-UA). Маскируясь под главного защитника страны в киберпространстве, злоумышленники пытались распространить сложный троян удаленного доступа (RAT), известный как AGEWHEEZE.

Этот инцидент служит суровым напоминанием о том, что в мире социальной инженерии чем авторитетнее маска, тем опаснее приманка. С точки зрения рисков масштаб этой операции захватывал дух, однако ее реальное воздействие осталось на удивление ограниченным, что подчеркивает любопытную борьбу между высокообъемной автоматизацией и устойчивостью современных защитных периметров.

Анатомия фишинга: цифровой троянский конь

Кампания строилась на фундаменте обмана. Злоумышленники использовали адрес электронной почты «incidents@cert-ua[.]tech» для рассылки срочных предупреждений государственным организациям, медицинским центрам и финансовым учреждениям. В письмах получателей призывали загрузить и установить некое «специализированное программное обеспечение» для защиты. На самом деле это был цифровой троянский конь.

За кулисами ссылка вела на защищенный паролем ZIP-архив, размещенный на Files.fm под названием «CERT_UA_protection_tool.zip». Используя защищенный паролем архив, атакующие стремились обойти автоматические сканеры электронной почты, которые часто не могут проверить зашифрованное содержимое. Как только пользователь следовал инструкциям и запускал файл, он не устанавливал инструмент безопасности; он передавал ключи от своего цифрового королевства.

Технический разбор: что такое AGEWHEEZE?

На архитектурном уровне AGEWHEEZE представляет собой вредоносное ПО на базе Go, предназначенное для комплексного наблюдения и контроля. Язык Go (или Golang) становится все более популярным среди авторов вредоносных программ, поскольку он обеспечивает простую кроссплатформенную компиляцию и часто приводит к созданию бинарных файлов, которые трудно анализировать традиционным антивирусным инструментам на основе сигнатур.

После активации AGEWHEEZE закрепляется в системе. Он модифицирует реестр Windows, создает запланированные задачи или помещает себя в каталог автозагрузки, чтобы гарантировать выживание после перезагрузки системы. Проактивно говоря, вредонос создан для тотального доминирования. Он взаимодействует с командным сервером (C2) по адресу «54.36.237[.]92», используя WebSockets — протокол, обеспечивающий полнодуплексную связь в реальном времени, что делает контроль злоумышленника над зараженной машиной мгновенным.

Набор команд, поддерживаемый AGEWHEEZE, многогранен и интрузивен:

• Манипуляции с системой: выполнение произвольных команд и управление активными процессами.
• Эксфильтрация данных: выполнение файловых операций и изменение содержимого буфера обмена.
• Наблюдение: создание скриншотов и эмуляция ввода мыши или клавиатуры.

По сути, зараженное устройство становится марионеткой, нити которой дергает злоумышленник издалека.

Связь с ИИ и персонаж «Кибер Серп»

Одним из наиболее тонких аспектов этой кампании является происхождение инфраструктуры. Анализ поддельного веб-сайта «cert-ua[.]tech» показывает, что большая часть его контента и кода была создана с помощью искусственного интеллекта. Это отражает растущую тенденцию, когда ИИ снижает порог входа для создания убедительных локализованных фишинговых приманок.

В исходный код HTML была встроена подпись: «С Любовью, КИБЕР СЕРП» (With Love, CYBER SERP). Эта группа, появившаяся в Telegram в конце 2025 года, называет себя оперативным подразделением «кибер-подполья». Хотя их риторика смела, техническое исполнение в этой конкретной кампании было несколько небрежным. Несмотря на рассылку миллиона писем, кампания в значительной степени провалилась. CERT-UA сообщила, что были скомпрометированы лишь несколько личных устройств, в основном в образовательных учреждениях.

Почему кампания провалилась

Почему на практике рассылка миллиона писем дала такие низкие результаты? Вероятно, все дело в «человеческом файрволе» и зрелости институциональной безопасности. Большинство современных корпоративных почтовых шлюзов теперь обучены помечать похожие домены (например, .tech вместо официального .gov.ua). Кроме того, требование к пользователю вручную загрузить ZIP-архив со стороннего хостинга, такого как Files.fm, ввести пароль и запустить исполняемый файл — это процесс с высоким уровнем трения, который многие обученные сотрудники теперь распознают как тревожный сигнал.

За время моего анализа сложных APT-атак я часто замечал, что самые успешные взломы — не самые громкие. Высокообъемные кампании, подобные этой, часто вызывают быстрое обнаружение именно из-за своей повсеместности. Один отчет от одного бдительного пользователя может привести к обновлению черного списка, которое нейтрализует всю кампанию за считанные минуты.

Уроки и практические рекомендации

Несмотря на низкий уровень успеха этой конкретной атаки, имитация национального CERT является системной угрозой, требующей решительного ответа. Организации должны выйти за рамки простого информирования и перейти к модели нулевого доверия (zero-trust), где ни одно сообщение — даже если оно кажется исходящим от доверенного органа — не принимается без проверки.

Что вам следует сделать дальше:

1. Аудит почтовых фильтров: убедитесь, что ваш шлюз безопасности настроен на обнаружение и карантин писем с похожих доменов и писем, содержащих ссылки на публичные сайты обмена файлами.
2. Внеполосная проверка: установите политику, согласно которой любые «обязательные» обновления программного обеспечения безопасности от внешних ведомств должны проверяться через официальные, заранее установленные каналы или основной веб-сайт ведомства в домене .gov.
3. Усиление защиты конечных точек: используйте инструменты EDR (Endpoint Detection and Response), которые отслеживают специфическое поведение AGEWHEEZE, такое как несанкционированные изменения реестра и необычные WebSocket-соединения с неизвестными IP-адресами.
4. Обучение по теме «Приманка авторитетом»: напомните персоналу, что злоумышленники часто выдают себя за ИТ-поддержку, отдел кадров или государственные органы, чтобы создать ложное чувство срочности.

В конечном счете, латание дыр в корпусе корабля эффективно только в том случае, если вы также внимательно следите за айсбергами. UAC-0255, возможно, потерпели неудачу в этот раз, но эволюция фишинга с помощью ИИ означает, что следующая маска, которую они наденут, скорее всего, будет еще более убедительной.

Источники

• Официальные отчеты об инцидентах и технические брифинги CERT-UA.
• Анализ угроз в отношении вредоносного ПО UAC-0255 и AGEWHEEZE.
• Отраслевой анализ троянов удаленного доступа на базе Go.
• Публичные архивы Telegram группы «Кибер Серп».