Компьютерная команда реагирования Украины CERT-UA сообщила о новой целевой фишинговой кампании, в рамках которой злоумышленники выдавали себя за государственное агентство кибербезопасности и распространяли вредоносное ПО для удалённого администрирования AGEWHEEZE. Инцидент демонстрирует, как атакующие используют доверие к официальным структурам и современные инструменты, включая искусственный интеллект, для усиления социальной инженерии.
Фишинговая рассылка под брендом CERT-UA: сценарий атаки
По данным CERT-UA, группа, обозначенная как UAC-0255, 26 и 27 марта 2026 года массово рассылала письма якобы от имени агентства. В некоторых случаях использовался адрес вида incidents@cert-ua[.]tech, имитирующий официальный домен. Получателям предлагалось установить «специализированное программное обеспечение для защиты», находящееся в защищённом паролем ZIP-архиве на файловом хостинге Files.fm.
Целями кампании стали государственные учреждения, медицинские центры, компании в сфере безопасности, образовательные организации, финансовые структуры и разработчики программного обеспечения. Такой спектр жертв характерен для кампаний кибершпионажа и финансово мотивированных атак: злоумышленники стремятся получить доступ как к критичной инфраструктуре, так и к потенциально монетизируемым данным.
Архив под названием CERT_UA_protection_tool.zip содержал программу, выдаваемую за защитное решение CERT-UA. На практике это был троян удалённого доступа (RAT) AGEWHEEZE, позволяющий атакующим полностью контролировать скомпрометированное устройство.
Троян AGEWHEEZE: функциональность и устойчивость в системе
AGEWHEEZE написан на языке Go, популярном среди создателей вредоносного ПО из-за кроссплатформенности и удобства статической компиляции. Вредонос общается с внешним сервером управления по протоколу WebSockets (зарегистрированный IP — 54.36.237[.]92), что обеспечивает двусторонний постоянный канал связи и затрудняет обнаружение по простым сигнатурным признакам.
Среди возможностей AGEWHEEZE: удалённое выполнение команд, операции с файлами, взаимодействие с буфером обмена, эмуляция мыши и клавиатуры, создание и снятие скриншотов, управление процессами и системными службами. По сути, атакующий получает почти физический доступ к системе жертвы, что позволяет проводить как скрытый шпионаж, так и подготовку последующих атак (например, развертывание вымогателей или кражу учётных данных).
Для закрепления в системе троян использует несколько механизмов персистентности: создание планового задания в Windows Task Scheduler, модификацию реестра Windows или добавление себя в папку автозагрузки. Такой многоуровневый подход усложняет полное удаление угрозы без специализированного анализа.
Результаты атаки и роль искусственного интеллекта
По оценке CERT-UA, кампания оказалась ограниченно успешной. Было выявлено лишь несколько заражённых персональных устройств сотрудников образовательных учреждений. Специалисты команды оказали пострадавшим методическую и практическую помощь, что минимизировало последствия инцидента.
Отдельного внимания заслуживает поддельный сайт cert-ua[.]tech, использовавшийся в атаке. Анализ показал, что его контент с высокой вероятностью был сгенерирован с помощью инструментов искусственного интеллекта. В исходном HTML-коде эксперты нашли комментарий на русском языке: «С Любовью, КИБЕР СЕРП». Это подчёркивает растущую тенденцию: ИИ активно применяется не только защитниками, но и злоумышленниками для быстрого создания правдоподобных фишинговых страниц и текстов.
Группа Cyber Serp и предыдущие инциденты
Фраза в комментарии указывает на связь кампании с группой, именующей себя Cyber Serp. В своём Telegram-канале, созданном в ноябре 2025 года и насчитывающем свыше 700 подписчиков, участники позиционируют себя как «киберподпольных оперативников из Украины». По их заявлениям, фишинговые письма были разосланы на 1 миллион почтовых ящиков ukr[.]net, а число скомпрометированных устройств якобы превысило 200 000. Эти цифры не подтверждены CERT-UA и требуют независимой верификации.
Ранее Cyber Serp публично взяла на себя ответственность за взлом украинской компании кибербезопасности Cipher, заявив о получении дампа серверов, клиентской базы и исходного кода ряда продуктов CIPS. В официальном заявлении на сайте Cipher было подтверждено только компрометирование учётных данных сотрудника одной из технологических компаний-партнёров. По утверждению компании, затронутый пользователь имел доступ лишь к одному проекту, не содержащему чувствительной информации, а инфраструктура продолжила работу в штатном режиме.
Рекомендации по защите от фишинговых кампаний и RAT
Инцидент демонстрирует, насколько опасно доверять письмам даже от «знакомых» структур без проверки домена и подлинности файлов. Для снижения рисков организациям и пользователям рекомендуется:
- строго проверять доменные имена отправителей и адреса сайтов, особенно при получении файлов под видом «спецПО» или «срочных обновлений»;
- использовать многоуровневую защиту почты (SPF, DKIM, DMARC, антифишинговые и антивирусные шлюзы);
- ограничить возможность запуска неизвестных исполняемых файлов и архивов политиками безопасности и контролем приложений;
- регулярно обучать сотрудников распознаванию признаков фишинга и социальной инженерии;
- внедрять средства обнаружения аномальной активности (EDR/XDR) для выявления RAT, использующих протоколы наподобие WebSockets;
- обеспечивать резервное копирование критичных данных и отработанные планы реагирования на инциденты.
Рост использования искусственного интеллекта в руках атакующих и имитация доверенных брендов, таких как CERT-UA, делают фишинговые кампании всё более убедительными. Своевременное информирование, технологическая защита и регулярное обучение пользователей остаются ключевыми факторами, позволяющими украинским и международным организациям снижать риск компрометации и эффективно противостоять новым поколениям троянов удалённого доступа, таким как AGEWHEEZE.
