Команда реагування на комп’ютерні надзвичайні ситуації України (CERT-UA) розкрила деталі нової фішингової кампанії, під час якої зловмисники видавали себе за саме агентство, щоб розповсюдити троян віддаленого доступу AGEWHEEZE. Атаки були приписані угрупованню, яке відстежується під назвою UAC-0255.
Як відбувалася атака
26 і 27 березня 2026 року зловмисники надсилали електронні листи від імені CERT-UA, в яких пропонували встановити «спеціалізоване програмне забезпечення» для захисту. До листів додавалось посилання на захищений паролем ZIP-архів, розміщений на платформі Files.fm. Частина листів надходила з адреси incidents@cert-ua[.]tech.
Серед цілей кампанії — державні установи, медичні центри, компанії у сфері безпеки, навчальні заклади, фінансові організації та компанії з розробки програмного забезпечення.
ZIP-файл з назвою CERT_UA_protection_tool.zip завантажував шкідливе ПЗ, замасковане під захисний інструмент агентства. Цим ПЗ виявився троян віддаленого доступу AGEWHEEZE.
Можливості трояна AGEWHEEZE
AGEWHEEZE написаний мовою програмування Go і зв’язується із зовнішнім сервером (54.36.237[.]92) через протокол WebSockets. Троян підтримує широкий набір функцій: виконання команд, операції з файлами, зміну вмісту буфера обміну, емуляцію дій миші та клавіатури, створення знімків екрана, а також керування процесами та службами.
Для закріплення в системі шкідливе ПЗ використовує кілька методів: створення запланованого завдання, зміну реєстру Windows або додавання себе до папки автозавантаження.
Результати кампанії та її виконавці
За оцінкою CERT-UA, атака виявилася значною мірою невдалою. «Не більше кількох заражених особистих пристроїв, які належать співробітникам навчальних закладів різних форм власності», — зазначило агентство. Фахівці надали необхідну методологічну та практичну допомогу постраждалим.
Аналіз підробленого сайту cert-ua[.]tech показав, що він, імовірно, згенерований за допомогою інструментів штучного інтелекту. В HTML-коді сторінки також виявлено коментар: «С Любовью, КИБЕР СЕРП».
У своєму Telegram-каналі, створеному в листопаді 2025 року та з понад 700 підписниками, угруповання Cyber Serp позиціонує себе як «кіберпідпільні оперативники з України». Зловмисники стверджують, що фішингові листи були надіслані на 1 мільйон поштових скриньок ukr.net, а понад 200 000 пристроїв нібито було скомпрометовано. «Ми не бандити — пересічний українець ніколи не постраждає від наших дій», — йдеться в одній з публікацій.
Зв’язок із зломом компанії Cipher
Раніше Cyber Serp взяло на себе відповідальність за злом української компанії з кібербезпеки Cipher, заявивши про отримання повного дампу серверів, включно з клієнтською базою даних і вихідним кодом лінійки продуктів CIPS.
У своїй заяві Cipher підтвердила, що зловмисники скомпрометували облікові дані співробітника однієї з її технологічних компаній, однак зазначила, що інфраструктура працює в штатному режимі. Заражений обліковий запис мав доступ лише до одного проєкту, який не містив чутливих даних.
Як розпізнати підробку
- Офіційний домен CERT-UA — cert.gov.ua. Будь-які листи з інших адрес, що містять слова «cert-ua», але з іншими доменами — потенційно підроблені.
- Посилання на сторонні файлообмінники (Files.fm та подібні) у листах від держустанов мають викликати підозру.
- Пропозиції встановити «спеціалізоване ПЗ» через архів із паролем — характерна ознака фішингу.
- У разі сумнівів щодо справжності листа від CERT-UA варто звернутися до агентства через офіційні канали зв’язку.
