Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Кампања со лажно претставување во име на CERT-UA шири AGEWHEEZE малвер до 1 милион е-пораки

Објавено: 02.04.2026

Тимот за компјутерски итни реакции на Украина (CERT-UA) објави детали за нова фишинг кампања во која самата агенција за сајбер-безбедност била лажно претставена со цел да се дистрибуира алатка за далечинска администрација позната како AGEWHEEZE.

Како дел од нападите, напаѓачите – следени под ознаката UAC-0255 – испратиле е-пораки на 26 и 27 март 2026 година, претставувајќи се како CERT-UA. Тие дистрибуирале ZIP архива заштитена со лозинка, хостирана на Files.fm, и ги повикувале примателите да инсталираат „специјализиран софтвер“.

Цел на кампањата биле државни институции, медицински центри, безбедносни компании, образовни институции, финансиски организации и компании за развој на софтвер. Дел од е-пораките биле испратени од адресата „incidents@cert-ua[.]tech“.

ZIP датотеката („CERT_UA_protection_tool.zip“) е дизајнирана да преземе малвер кој се претставува како безбедносен софтвер од агенцијата. Според CERT-UA, станува збор за тројанец за далечински пристап со кодно име AGEWHEEZE.

AGEWHEEZE, кој е развиен во Go, комуницира со надворешен сервер („54.36.237[.]92“) преку WebSockets и поддржува широк спектар на команди – извршување наредби, работа со датотеки, измена на clipboard, емулација на глушец и тастатура, правење слики од екранот, како и управување со процеси и сервиси. Исто така, обезбедува трајно присуство на системот преку закажани задачи, измена на Windows Registry или додавање во Startup директориумот.

Се проценува дека нападот бил во голема мера неуспешен. „Идентификувани се не повеќе од неколку заразени лични уреди кои припаѓаат на вработени во образовни институции од различни форми на сопственост“, соопшти агенцијата. „Специјалистите на тимот обезбедија потребна методолошка и практична помош.“

Анализата на лажната веб-страница „cert-ua[.]tech“ покажала дека најверојатно била генерирана со помош на алатки за вештачка интелигенција (AI), при што HTML изворниот код содржел и коментар: „С Любовью, КИБЕР СЕРП“, што значи „Со љубов, КИБЕР СЕРП“.

Во објави на Telegram, Cyber Serp тврди дека се „сајбер-подземни оперативци од Украина“. Telegram каналот бил креиран во ноември 2025 година и има повеќе од 700 претплатници. Актерот на заканата исто така навел дека фишинг е-пораките биле испратени до 1 милион ukr[.]net сандачиња како дел од кампањата и дека повеќе од 200.000 уреди биле компромитирани. „Ние не сме бандити – просечниот украински граѓанин никогаш нема да страда како резултат на нашите активности“, се наведува во објавата.

Минатиот месец, Cyber Serp презеде одговорност за наводен пробив во украинската сајбер-безбедносна компанија Cipher, тврдејќи дека прибавил целосен dump од серверите, вклучувајќи база на клиенти и изворен код за нивната линија CIPS производи, меѓу другото.

Во соопштение на својата веб-страница, Cipher призна дека напаѓачите компромитирале акредитиви на вработен во една од нивните технолошки компании, но истакна дека нивната инфраструктура функционира нормално. Заразениот корисник имал пристап до само еден проект, кој не содржел чувствителни податоци, додаваат тие.

Извори:

  • The Hacker News – CERT-UA Impersonation Campaign Spread AGEWHEEZE Malware to 1 Million Emails The Hacker News