UAC-0255 podszywa się pod CERT-UA i rozsyła malware AGEWHEEZE w kampanii phishingowej - Security Bez Tabu

UAC-0255 podszywa się pod CERT-UA i rozsyła malware AGEWHEEZE w kampanii phishingowej

Cybersecurity news

Wprowadzenie do problemu / definicja

Phishing pozostaje jednym z najskuteczniejszych sposobów uzyskania dostępu początkowego do środowisk organizacyjnych. Najnowsza kampania przypisywana grupie UAC-0255 pokazuje, że szczególnie groźne są operacje łączące socjotechnikę z podszywaniem się pod zaufane instytucje cyberbezpieczeństwa. W tym przypadku przestępcy wykorzystali fałszywą komunikację rzekomo pochodzącą od CERT-UA, aby skłonić odbiorców do uruchomienia złośliwego narzędzia AGEWHEEZE.

AGEWHEEZE pełni rolę zdalnego trojana dostępowego, który po uruchomieniu daje napastnikom możliwość przejęcia kontroli nad systemem ofiary, wykonywania poleceń i dalszej eksploatacji środowiska.

W skrócie

Atakujący rozsyłali wiadomości phishingowe podszywające się pod CERT-UA i zachęcali odbiorców do pobrania zabezpieczonego hasłem archiwum. W środku znajdował się rzekomy program ochronny, który w rzeczywistości instalował malware AGEWHEEZE.

  • kampania była wymierzona w instytucje publiczne i prywatne,
  • wiadomości odwoływały się do autorytetu zespołu reagowania na incydenty,
  • malware umożliwiało zdalne sterowanie systemem,
  • atak wykorzystywał również fałszywą stronę imitującą legalny serwis CERT-UA.

Kontekst / historia

Opisana operacja została odnotowana pod koniec marca 2026 roku i wpisuje się w utrwalony trend nadużywania wizerunku instytucji publicznych oraz zespołów CERT. Tego typu kampanie są wyjątkowo skuteczne, ponieważ nie bazują na klasycznych przynętach finansowych, lecz na pozornie wiarygodnych ostrzeżeniach bezpieczeństwa.

W praktyce ofiara otrzymuje komunikat, który wygląda jak oficjalne ostrzeżenie wraz z rekomendowanym narzędziem ochronnym. To obniża naturalną czujność użytkownika i zwiększa prawdopodobieństwo uruchomienia pliku wykonywalnego. Dodatkowym elementem operacji była infrastruktura phishingowa obejmująca fałszywą domenę i zaplecze komunikacyjne przygotowane do dystrybucji złośliwego oprogramowania.

Analiza techniczna

Łańcuch infekcji rozpoczynał się od wiadomości e-mail zawierającej odnośnik do zewnętrznej usługi hostingu plików. Pobierane archiwum ZIP było chronione hasłem, co utrudnia automatyczne skanowanie zawartości przez część narzędzi bezpieczeństwa poczty. W archiwum znajdował się plik wykonywalny przedstawiany jako specjalistyczne narzędzie ochronne.

Po uruchomieniu instalowany był AGEWHEEZE, czyli wielofunkcyjne narzędzie zdalnej kontroli systemu. Z dostępnych analiz wynika, że malware wspierało szeroki zestaw funkcji operacyjnych.

  • wykonywanie poleceń w systemie,
  • operacje na plikach i katalogach,
  • przechwytywanie obrazu ekranu,
  • kontrolę urządzeń wejściowych,
  • zarządzanie procesami i usługami,
  • kradzież danych ze schowka,
  • wykonywanie akcji systemowych.

Istotnym elementem zagrożenia są mechanizmy persistence. AGEWHEEZE może utrzymywać obecność w systemie poprzez wpisy rejestru, autostart, zadania harmonogramu oraz instalację w katalogach użytkownika, takich jak AppData. Taki model działania utrudnia wykrycie i pozwala napastnikom odzyskać dostęp po restarcie urządzenia.

Komunikacja z infrastrukturą sterującą miała wykorzystywać WebSockety. Z perspektywy obrony jest to istotne, ponieważ ruch oparty na standardowych kanałach webowych może łatwiej ukrywać się w zwykłej aktywności sieciowej. Wymaga to dokładniejszej inspekcji ruchu wychodzącego oraz korelacji danych telemetrycznych z zachowaniem endpointów.

Na uwagę zasługuje również warstwa operacyjna kampanii. Fałszywa domena imitowała legalną tożsamość CERT-UA, a niektóre elementy infrastruktury i treści miały wskazywać na powiązania atrybucyjne z UAC-0255. Pojawiły się także przesłanki, że część materiałów socjotechnicznych mogła zostać przygotowana lub przyspieszona z użyciem narzędzi AI.

Konsekwencje / ryzyko

Najpoważniejszą konsekwencją infekcji AGEWHEEZE jest utrata kontroli nad stacją roboczą lub serwerem końcowym. Z perspektywy organizacji oznacza to ryzyko wycieku danych, przejęcia poświadczeń i wykorzystania zainfekowanego hosta do dalszego ruchu lateralnego.

  • kradzież dokumentów i danych operacyjnych,
  • pozyskanie poświadczeń lub zawartości schowka,
  • dostarczenie kolejnych ładunków malware,
  • eskalacja incydentu do poziomu naruszenia większej części środowiska,
  • zakłócenie działania procesów biznesowych i usług.

Szczególnie wysokie ryzyko dotyczy instytucji publicznych, ochrony zdrowia, sektora finansowego, edukacji oraz firm technologicznych. Nawet jeśli skala skutecznych infekcji okaże się ograniczona, sam model ataku jest łatwy do powielenia i pozostaje bardzo niebezpieczny z punktu widzenia obrony organizacyjnej.

Rekomendacje

Organizacje powinny traktować podobne incydenty jako sygnał do wzmocnienia ochrony poczty, kontroli uruchamiania aplikacji i procesów reagowania. Skuteczna obrona wymaga połączenia środków technicznych z regularnym podnoszeniem świadomości użytkowników.

  • weryfikować wszystkie wiadomości zawierające archiwa, hasła do plików lub instrukcje instalacji oprogramowania,
  • wdrożyć mechanizmy allowlistingu aplikacji, zwłaszcza na stacjach o podwyższonym poziomie zaufania,
  • analizować i eskalować archiwa chronione hasłem trafiające do organizacji,
  • monitorować autostart, zadania harmonogramu i nietypowe pliki wykonywalne w katalogach użytkownika,
  • prowadzić inspekcję ruchu wychodzącego pod kątem anomalii i wzorców zdalnego sterowania,
  • ograniczać uprawnienia lokalne i segmentować sieć,
  • realizować szkolenia antyphishingowe uwzględniające scenariusze podszywania się pod instytucje bezpieczeństwa,
  • utrzymywać gotowe procedury izolacji hosta, resetu poświadczeń i przeszukiwania środowiska po wykryciu podejrzanej aktywności.

Podsumowanie

Kampania UAC-0255 z wykorzystaniem AGEWHEEZE pokazuje, że współczesny phishing coraz częściej odwołuje się do narracji bezpieczeństwa zamiast do klasycznych przynęt finansowych. Podszywanie się pod CERT-UA, wykorzystanie fałszywej strony, archiwów zabezpieczonych hasłem oraz funkcjonalnego trojana dostępowego tworzy skuteczny i niebezpieczny łańcuch ataku.

Dla zespołów bezpieczeństwa to wyraźny sygnał, że skuteczna ochrona wymaga jednoczesnej kontroli nad pocztą, politykami uruchamiania aplikacji, monitoringiem zachowań post-exploitation oraz konsekwentnym szkoleniem użytkowników.

Źródła

  1. Security Affairs — https://securityaffairs.com/190287/hacking/threat-actor-uac-0255-impersonate-cert-ua-to-spread-agewheeze-malware-via-phishing.html
  2. CERT-UA Advisory — https://cert.gov.ua/