Комп’ютерна команда реагування на надзвичайні події України CERT-UA попередила про нову цільову фішингову кампанію, у межах якої зловмисники маскувалися під державне агентство кібербезпеки та розповсюджували троян віддаленого доступу AGEWHEEZE. Інцидент демонструє, наскільки небезпечно безумовне довір’я до «офіційних» листів, а також як штучний інтелект підсилює сучасні сценарії соціальної інженерії.
Фішингові листи від «CERT-UA»: як працювала схема атаки
За даними CERT-UA, група, позначена як UAC-0255, 26–27 березня 2026 року здійснила масову розсилку листів нібито від імені агентства. Використовувався, зокрема, доменоподібний адрес incidents@cert-ua[.]tech, який візуально нагадує справжні поштові скриньки CERT-UA. У повідомленнях отримувачів переконували встановити «спеціалізоване програмне забезпечення для захисту», що містилося у ZIP-архіві з паролем, розміщеному на файловому хостингу Files.fm.
Цільові сектори та потенційні наслідки
Під атаку потрапили державні органи, медичні заклади, компанії безпеки, заклади освіти, фінансові установи та розробники ПЗ. Такий широкий перелік цілей є типовим як для кібершпигунських кампаній, так і для фінансово мотивованих атак: зловмисники одночасно полюють на доступ до критичної інфраструктури та до даних, які можна конвертувати в гроші (платіжна інформація, облікові дані, інтелектуальна власність).
Архів із назвою CERT_UA_protection_tool.zip містив виконуваний файл, замаскований під захисний інструмент CERT-UA. Насправді ж це був троян віддаленого доступу (Remote Access Trojan, RAT) AGEWHEEZE, призначений для повного контролю над інфікованою системою.
RAT AGEWHEEZE: можливості, протокол керування та закріплення
AGEWHEEZE розроблений мовою програмування Go, яка популярна серед авторів шкідливого ПЗ завдяки кросплатформеності та статичній компіляції — це ускладнює класичний сигнатурний аналіз. Троян встановлює канал зв’язку з сервером керування через протокол WebSockets (зафіксована IP-адреса — 54.36.237[.]92), забезпечуючи постійний двосторонній обмін командами та даними. Через використання легітимного веб-протоколу фіксація такої активності потребує поведінкового аналізу, а не лише перевірки сигнатур.
Функціональність AGEWHEEZE включає віддалене виконання команд, роботу з файлами, доступ до буфера обміну, емуляцію натискань миші та клавіатури, створення скріншотів, керування процесами та службами. Фактично атакувальник отримує можливість діяти так, ніби фізично працює за комп’ютером жертви. Це відкриває шлях до прихованого стеження, розгортання шифрувальників, викрадення облікових даних, а також до подальшого проникнення в корпоративні мережі.
Персистентність: як троян виживає після перезавантаження
Для закріплення в системі AGEWHEEZE застосовує кілька типових для Windows технік: створення запланованого завдання в Task Scheduler, модифікацію гілок реєстру автозапуску та копіювання себе до папки автозавантаження. Багаторівневий підхід ускладнює повне видалення без глибокого аналізу, оскільки блокування одного механізму може не відключити інші.
Штучний інтелект у фішингу: фейковий сайт CERT-UA та слід Cyber Serp
Ключовий елемент кампанії — підроблений сайт cert-ua[.]tech, стилізований під офіційний ресурс CERT-UA. Аналіз вмісту показав, що тексти з високою ймовірністю були згенеровані за допомогою інструментів штучного інтелекту: типова структура, однорідний стиль та характерні мовні конструкції. В HTML-коді сторінки спеціалісти виявили коментар російською: «С Любовью, КИБЕР СЕРП», що вказує на авторство або принаймні на спробу залишити «цифровий підпис».
Використання ШІ дає зловмисникам змогу швидко створювати правдоподібні фішингові сайти, листи та документи. Згідно з провідними галузевими звітами, фішинг стабільно входить до трійки найпоширеніших стартових векторів атак, а поява генеративного ШІ суттєво знижує поріг входу навіть для малодосвідчених атакувальників.
Група Cyber Serp: публічна активність та попередні заяви
Фраза в HTML-коментарі корелює з діяльністю групи, що називає себе Cyber Serp. У своєму Telegram-каналі (створеному в листопаді 2025 року, понад 700 підписників) учасники позиціонують себе як «кіберпідпільних оперативників з України». Вони стверджують, що фішингові листи було відправлено на 1 мільйон поштових скриньок ukr[.]net, а кількість інфікованих пристроїв нібито перевищила 200 000. CERT-UA ці цифри не підтвердила; реальний масштаб інциденту потребує незалежної верифікації.
Раніше Cyber Serp публічно взяла на себе відповідальність за злам української компанії з кібербезпеки Cipher, заявивши про отримання дампа серверів, клієнтської бази та вихідних кодів продуктів CIPS. У офіційній заяві Cipher підтвердила лише компрометацію облікових даних співробітника однієї з технологічних партнерських компаній, підкресливши, що доступ був обмежений одним проєктом без чутливої інформації, а інфраструктура продовжила працювати у штатному режимі. Це типовий приклад розриву між пропагандистськими заявами атакувальників і фактичними наслідками інциденту.
Як захиститися від фішингових атак і троянів віддаленого доступу
Поточна кампанія наочно показує, що бренд відомої організації не може бути єдиним критерієм довіри. Зловмисники цілеспрямовано експлуатують очікування користувачів, підробляючи домени, логотипи та тон комунікацій. Щоб зменшити ризики, організаціям і користувачам варто впроваджувати багаторівневий підхід до кіберзахисту:
- Перевірка доменів і адрес відправників. Завжди уважно звіряйте доменні імена та URL-адреси, особливо якщо в листі містяться файли під виглядом «захисного ПЗ» або «критичних оновлень».
- Захист електронної пошти. Використовуйте SPF, DKIM, DMARC, антифішингові та антивірусні шлюзи для зменшення ймовірності доставки шкідливих листів.
- Обмеження запуску невідомих файлів. Налаштуйте політики безпеки, контроль додатків (AppLocker, WDAC тощо) та мінімальні права користувачів, щоб ускладнити виконання шкідливих програм.
- Постійне навчання співробітників. Регулярні тренінги з розпізнавання фішингу та соціальної інженерії істотно підвищують «цифровий імунітет» організації.
- Використання EDR/XDR-рішень. Сучасні засоби виявлення та реагування дозволяють фіксувати нетипову активність, зокрема підозрілі з’єднання через WebSockets та поведінку RAT.
- Резервне копіювання та плани реагування. Регулярні бекапи критичних даних і напрацьовані процедури реагування допомагають мінімізувати наслідки навіть успішних атак.
З огляду на активне використання штучного інтелекту у фішингових кампаніях та імітацію довірених брендів на кшталт CERT-UA, організаціям необхідно системно посилювати кіберстійкість: поєднувати технологічні засоби захисту, навчання користувачів і оперативну взаємодію з національними командами реагування. Регулярне стеження за попередженнями CERT-UA, оновлення політик безпеки та перевірка ланцюжків довіри до електронної пошти й програмного забезпечення залишаються ключовими кроками для зниження ризику компрометації троянами віддаленого доступу на кшталт AGEWHEEZE.
