Стежити 
Фішинг залишається одним з найефективніших інструментів в арсеналі кіберзлочинців, особливо коли зловмисники зловживають довірою до авторитетних установ і знайомих цифрових сервісів, щоб збільшити взаємодію з жертвами. Наприкінці березня 2026 року CERT-UA розкрив фішингову кампанію під назвою UAC-0255, в якій зловмисники видавали себе за агентство та намагалися заразити організації в публічному та приватному секторах України шкідливим ПЗ AGEWHEEZE RAT.
Виявити атаки UAC-0255, освітлені в CERT-UA#21075
Європол зазначає, що фішинг залишається основним вектором розповсюдження шкідливого ПЗ для крадіжки даних, що відображає, як соціальна інженерія на основі електронної пошти та URL-адрес залишається центральною для доставки шкідливого ПЗ. Така ж схема спостерігається у фішинговій активності, яку CERT-UA документує проти України протягом 2026 року. that phishing remains the main distribution vector for data-stealing malware, reflecting how email- and URL-driven social engineering remains central to malware delivery. The same pattern is visible across the phishing activity CERT-UA has been documenting against Ukraine throughout 2026.
Раніше цього року CERT-UA повідомив про кампанію UAC-0190 , зосереджену на Збройних силах України з допомогою бекдора PLUGGYAPE, і пізніше розкрив активність UAC-0252 , в якій електронні листи видавались за центральні виконавчі органи та регіональні адміністрації, заманюючи жертв запустити корисні навантаження SHADOWSNIFF і SALATSTEALER. Остання атака UAC-0255, освітлена в сповіщенні CERT-UA#21075 , відповідає тій самій загальній тенденції, де зловмисники тепер зловживають власною ідентичністю CERT-UA для того, щоб зробити приманку більш переконливою і поширити цільовий вплив на організації як у публічному, так і в приватному секторах.
Зареєструйтесь на платформі SOC Prime , щоб проактивно виявляти атаки UAC-0255 та подібні на ранніх етапах. Просто натисніть Переглянути Виявлення нижче та отримайте доступ до релевантного стека правил виявлення, збагаченого на основі AI CTI, зіставленого з MITRE ATT&CK® framework, і сумісного з багатьма технологіями SIEM, EDR і Data Lake.
Фахівці з безпеки також можуть використовувати тег “CERT-UA#21075” на основі відповідного ідентифікатора сповіщення CERT-UA, щоб шукати стек виявлення безпосередньо і відстежувати будь-які зміни вмісту. Для отримання додаткових правил для виявлення атак, пов’язаних з противниками, кіберзахисники можуть шукати в бібліотеці Threat Detection Marketplace за допомогою тега “UAC-0255“.
Фахівці з кібербезпеки також можуть покладатися на Uncoder AI , щоб аналізувати загрози в реальному часі, генерувати Attack Flows, Sigma rules, симуляції та валідації, проектувати виявлення 56 мовами та створювати спеціальні агентні робочі процеси. Відвідайте https://socprime.ai/ , щоб дізнатися більше.
Аналіз атак UAC-0255, які видають себе за CERT-UA для розгортання AGEWHEEZE
26–27 березня 2026 року CERT-UA виявив фішингову кампанію, у якій зловмисники видавали себе за агентство та спонукали отримувачів завантажувати паролем захищені архіви з сервісу Files.fm , що включали «CERT_UA_protection_tool.zip» та «protection_tool.zip». Архіви містили шкідливий контент, представлений як спеціалізоване програмне забезпечення, яке повинні встановити організації, на які націлювалася атака.
Шкідливі електронні листи були широко розповсюджені по всій Україні і були спрямовані на урядові організації, медичні центри, компанії з безпеки, освітні установи, фінансові організації, компанії, що займаються розробкою програмного забезпечення, та інші установи, що підкреслює охоплення кампанії як у державному, так і в приватному секторах.
сповіщення CERT-UA#21075 також детально описує виявлення шахрайського сайту cert-ua[.]tech, який повторно використовував матеріали з офіційного сайту cert.gov.ua і містив інструкції щодо завантаження підробленого інструменту захисту. Це допомогло зловмисникам підсилити легітимність приманки і збільшити шанси на взаємодію користувачів, зловживаючи довірою до Комп’ютерної команди реагування України.
Виконавчий файл, запропонований для встановлення, виявився багатофункціональним шкідливим ПЗ для віддаленого доступу, відстеженим CERT-UA як AGEWHEEZE. AGEWHEEZE є RAT на основі Go, що підтримує широкий набір можливостей віддаленого адміністрування. Окрім стандартних функцій, таких як виконання команд та управління файлами, шкідливе ПЗ може транслювати вміст екрану, симулювати введення миші та клавіатури, взаємодіяти з буфером обміну, керувати процесами та службами, а також відкривати URL-адреси на зараженому хості.
Командно-контрольна інфраструктура шкідливого ПЗ була розміщена в мережі французького постачальника OVH (AS16276). На порту 8443/tcp дослідники спостерігали веб-сторінку під назвою “The Cult”, що містила форму автентифікації, в той час як у вихідному коді HTML були русскоязычные строки, що повідомляли про заблокований доступ до сервісу. CERT-UA також виявила, що пов’язаний сертифікат SSL, підписаний самим собою, було створено 18 березня 2026 року, а в полі “Організація” значилося значення “TVisor”.
Під час перегляду веб-сайту, згенерованого штучним інтелектом cert-ua[.]tech , CERT-UA знайшла вбудовані посилання на канал CyberSerp у Telegram, включаючи фразу “З любов’ю, CYBER SERP.” 28 березня 2026 року той самий канал Telegram публічно взяв на себе відповідальність за атаку, що допомогло усунути невизначеність щодо технічної атрибуції. На основі цих висновків, CERT-UA присвоїв активності ідентифікатор UAC-0255.
Незважаючи на широту звичайної цільової аудиторії, CERT-UA оцінив атаку як невдалу. Дослідники виявили лише кілька інфікованих особистих пристроїв, що належали співробітникам освітніх установ, і команда реагування надала необхідну практичну та методологічну допомогу.
MITRE ATT&CK Контекст
Використання MITRE ATT&CK надає глибше розуміння останньої фішингової кампанії UAC-0255, що видає себе за CERT-UA. Таблиця нижче відображає всі відповідні правила Sigma, прив’язані до відповідних тактик, технік і під-технік ATT&CK.
