Folgen 
Phishing zählt weiterhin zu den effektivsten Werkzeugen im Arsenal von Cyberkriminellen – insbesondere, wenn Threat Actors die Glaubwürdigkeit vertrauenswürdiger Institutionen und bekannter digitaler Dienste missbrauchen, um die Interaktion der Opfer zu erhöhen. Ende März 2026 legte CERT-UA eine Phishing-Kampagne offen, die unter UAC-0255 nachverfolgt wird, bei der Angreifer die Behörde imitierten und versuchten, Organisationen in der ukrainischen öffentlichen und privaten Sphäre mit dem AGEWHEEZE-RAT zu infizieren.
UAC-0255-Angriffe erkennen, die in CERT-UA#21075 behandelt werden
Europol stellt fest, dass Phishing weiterhin der wichtigste Verbreitungsvektor für datenstehlende Malware ist – ein Hinweis darauf, wie zentral E-Mail- und URL-basierte Social-Engineering-Methoden für die Malware-Zustellung geblieben sind. Dasselbe Muster zeigt sich auch in der Phishing-Aktivität, die CERT-UA im Verlauf von 2026 gegen die Ukraine dokumentiert hat.
Anfang dieses Jahres meldete CERT-UA eine UAC-0190-Kampagne, die mit der PLUGGYAPE-Backdoor auf die Streitkräfte der Ukraine abzielte, und veröffentlichte später UAC-0252-Aktivitäten, bei denen E-Mails, die zentrale Exekutivbehörden und regionale Verwaltungen imitierten, Opfer dazu verleiteten, SHADOWSNIFF- und SALATSTEALER-Payloads auszuführen. Der jüngste UAC-0255-Angriff, der im CERT-UA#21075-Alert beschrieben wird, passt in denselben übergeordneten Trend: Threat Actors missbrauchen nun die Identität von CERT-UA selbst, um den Köder überzeugender zu gestalten und das Targeting auf Organisationen in öffentlichem wie privatem Sektor auszuweiten.
Registrieren Sie sich für die SOC Prime Platform, um UAC-0255 und ähnliche Angriffe proaktiv in möglichst frühen Phasen zu erkennen. Klicken Sie einfach unten auf Erkundung der Erkennungenund greifen Sie auf einen passenden Detection-Rule-Stack zu – angereichert mit AI-nativer CTI, gemappt auf das MITRE ATT&CK® Framework und kompatibel mit zahlreichen SIEM-, EDR- und Data-Lake-Technologien.
Security-Expert:innen können außerdem das Tag „CERT-UA#21075“ anhand des entsprechenden CERT-UA-Alert-Identifiers nutzen, um den Detection-Stack direkt zu finden und Änderungen an den Inhalten nachzuverfolgen. Für weitere Regeln zur Erkennung adversary-bezogener Angriffe können Cyber Defender die Threat Detection Marketplace-Bibliothek mit dem Tag „UAC-0255“ durchsuchen.
Cybersecurity-Fachleute können zudem auf Uncoder AI zurückgreifen, um Threat Intelligence in Echtzeit zu analysieren, Attack Flows, Sigma-Regeln, Simulationen und Validierungen zu generieren, Detections in 56 Sprachen zu erstellen und individuelle agentische Workflows zu bauen. Besuchen Sie https://socprime.ai/, um mehr zu erfahren.
Analyse von UAC-0255-Angriffen, die CERT-UA imitieren, um AGEWHEEZE zu deployen
Am 26.–27. März 2026 identifizierte CERT-UA eine Phishing-Kampagne, in der Angreifer die Behörde imitierten und Empfänger dazu drängten, passwortgeschützte Archive über den Dienst Files.fm herunterzuladen – darunter „CERT_UA_protection_tool.zip“ und „protection_tool.zip“. Die Archive enthielten bösartige Inhalte, die als spezialisierte Software ausgegeben wurden, welche von den Zielorganisationen installiert werden sollte.
Die bösartigen E-Mails wurden breit in der gesamten Ukraine verteilt und zielten auf staatliche Organisationen, medizinische Zentren, Sicherheitsfirmen, Bildungseinrichtungen, Finanzorganisationen, Softwareentwicklungsunternehmen und andere Entitäten ab – was die Reichweite der Kampagne über öffentliche und private Sektoren hinweg unterstreicht.
CERT-UA#21075 beschreibt außerdem die Entdeckung der betrügerischen Website cert-ua[.]tech, die Materialien von der offiziellen Website cert.gov.ua wiederverwendete und Anweisungen zum Download des gefälschten Protection Tools enthielt. Dadurch konnten die Angreifer die Legitimität des Köders weiter untermauern und die Wahrscheinlichkeit einer Benutzerinteraktion erhöhen, indem sie das Vertrauen in das Computer Emergency Response Team der Ukraine ausnutzten.
Die zur Installation angebotene ausführbare Datei wurde als multifunktionaler Remote-Access-Malware-Stamm identifiziert, den CERT-UA als AGEWHEEZE trackt. AGEWHEEZE ist ein Go-basierter RAT, der ein breites Spektrum an Remote-Administration-Fähigkeiten unterstützt. Zusätzlich zu Standardfunktionen wie Befehlsausführung und Dateiverwaltung kann die Malware Bildschirminhalte streamen, Maus- und Tastatureingaben emulieren, mit der Zwischenablage interagieren, Prozesse und Dienste verwalten und URLs auf dem kompromittierten Host öffnen.
Die Command-and-Control-Infrastruktur der Malware war im Netzwerk des französischen Providers OVH (AS16276) gehostet. Auf Port 8443/tcp beobachteten Forschende eine Webseite mit dem Titel „The Cult“, die ein Authentifizierungsformular enthielt, während der HTML-Quelltext russischsprachige Strings mit Hinweisen auf einen blockierten Zugriff auf den Dienst enthielt. CERT-UA stellte außerdem fest, dass das zugehörige selbstsignierte SSL-Zertifikat am 18. März 2026 erstellt worden war und dass das Feld Organization den Wert „TVisor“ enthielt.
Bei der Prüfung der KI-generierten Website cert-ua[.]tech fand CERT-UA eingebettete Verweise auf den Telegram-Kanal CyberSerp, einschließlich der Formulierung „With Love, CYBER SERP.“. Am 28. März 2026 übernahm derselbe Telegram-Kanal öffentlich die Verantwortung für den Angriff, wodurch Unklarheiten hinsichtlich der technischen Attribution reduziert wurden. Auf Basis dieser Erkenntnisse vergab CERT-UA der Aktivität die Kennung UAC-0255.
Trotz der breiten Zielauswahl bewertete CERT-UA den Angriff als erfolglos. Die Ermittler identifizierten lediglich einige infizierte persönliche Geräte von Mitarbeitenden von Bildungseinrichtungen, und das Response-Team leistete die erforderliche praktische und methodische Unterstützung.
MITRE ATT&CK-Kontext
Die Nutzung von MITRE ATT&CK liefert tiefgehende Einblicke in die jüngste UAC-0255-Phishing-Kampagne, die CERT-UA imitiert. Die folgende Tabelle zeigt alle relevanten Sigma-Regeln, gemappt auf die zugehörigen ATT&CK-Taktiken, -Techniken und -Sub-Techniken.
