Fałszywy CERT-UA i malware AGEWHEEZE. Jak wyglądał ten atak

2026-04-03

TL;DR

Atakujący podszyli się pod CERT-UA i rozsyłali wiadomości zachęcające do pobrania rzekomego narzędzia ochronnego. W praktyce ofiara trafiała na fałszywą stronę i pobierała archiwum ZIP, które prowadziło do instalacji malware AGEWHEEZE.

To dobry przykład, że nawet komunikat związany z bezpieczeństwem może być nośnikiem ataku. Dla zespołów IT i security to nie jest tylko ciekawy incydent z innego rynku, ale czytelny wzorzec działań, który można powtórzyć także wobec organizacji w Europie.

O co chodzi w kampanii podszywającej się pod CERT-UA

W oficjalnym komunikacie CERT-UA opisano kampanię oznaczoną jako UAC-0255, w której atakujący podszywali się pod zespół reagowania na incydenty i przekonywali odbiorców do pobrania rzekomego narzędzia ochronnego. Sama przynęta była dobrze dobrana, bo nie odwoływała się do nagrody, przesyłki ani faktury, ale do bezpieczeństwa i potrzeby szybkiej ochrony systemu.

Ten przypadek pokazuje, że phishing nie musi wyglądać banalnie. Mechanizm pozostaje ten sam, ale zmienia się opakowanie. Tutaj zaufanie zbudowano wokół nazwy instytucji, która z definicji powinna kojarzyć się z pomocą i wiarygodnym ostrzeżeniem. Jeśli chcesz uporządkować sam mechanizm takiego oszustwa, zobacz też materiał czym jest phishing.

Dlaczego taki atak działa także poza Ukrainą

To nie jest scenariusz ograniczony do jednego państwa. W praktyce można go bardzo łatwo przenieść na inny rynek i podmienić wyłącznie nazwę instytucji, domenę, nadawcę oraz pretekst użyty w wiadomości. W każdej organizacji działa podobny odruch: skoro komunikat dotyczy bezpieczeństwa i wygląda profesjonalnie, odbiorca chętniej kliknie, pobierze plik i spróbuje uruchomić narzędzie.

Dla zespołów IT i security najważniejszy jest tu nie sam geograficzny kontekst incydentu, ale wzorzec socjotechniczny. Atakujący rozumieją, że osoba techniczna albo menedżer bezpieczeństwa może zareagować szybciej właśnie wtedy, gdy wiadomość wygląda na pilny komunikat ochronny, a nie klasyczny spam.

Jak wyglądał łańcuch ataku od wiadomości do malware

Według opisu kampanii w analizie GBHackers oraz materiału źródłowego CERT-UA, odbiorcy dostawali wiadomości kierujące do fałszywej infrastruktury powiązanej z domeną cert-ua.tech. W treści pojawiała się zachęta do pobrania specjalistycznego oprogramowania ochronnego. Całość była przygotowana tak, by wyglądała jak wiarygodna akcja prewencyjna.

Kolejny etap to pobranie archiwum ZIP hostowanego poza oficjalną infrastrukturą. To właśnie na ten moment należy zwrócić uwagę. Zamiast narzędzia ochronnego pojawiał się mechanizm dostarczenia malware, który po uruchomieniu otwierał napastnikowi drogę do dalszych działań. Podobny schemat dostarczenia zagrożenia opisaliśmy też w materiale złośliwy załącznik w archiwum ZIP.

W opisie The Hacker News AGEWHEEZE został wskazany jako zdalny trojan napisany w języku Go, wspierający m.in. wykonywanie poleceń, operacje na plikach, modyfikację schowka, zrzuty ekranu i utrwalanie dostępu w systemie. Na poziomie operacyjnym oznacza to, że pojedyncze kliknięcie mogło otworzyć drogę do dalszej penetracji stacji roboczej.

Jakie sygnały powinny wychwycić IT i security

W tej kampanii, było kilka sygnałów, które powinny zostać wychwycone zanim dojdzie do uruchomienia pliku. Po pierwsze, narzędzie bezpieczeństwa było dystrybuowane przez zewnętrzną usługę plikową, a nie przez oficjalny kanał instytucji. Po drugie, użyto domeny, która miała wyglądać wiarygodnie, ale nie była oficjalną domeną CERT-UA. Po trzecie, cała narracja była oparta na presji szybkiego działania.

W praktyce warto zwracać uwagę na kilka elementów jednocześnie:

• nietypową domenę nadawcy lub strony docelowej
• prośbę o pobranie narzędzia bezpieczeństwa z zewnętrznego hostingu
• archiwum ZIP lub plik wykonywalny przedstawiany jako środek ochronny
• komunikat, który próbuje skrócić czas na weryfikację i skłonić do natychmiastowej akcji

To właśnie połączenie wiarygodnego pretekstu i technicznego nośnika sprawia, że podobne ataki są groźne nawet dla osób, które na co dzień mają kontakt z tematami cyberbezpieczeństwa.

Wnioski operacyjne dla zespołów IT i security

Dojrzały phishing nie musi udawać komunikacja z banku, od kuriera ani działu HR. Coraz częściej atakujący budują przekaz wokół bezpieczeństwa, zgodności albo reakcji na incydent, bo wiedzą, że taki temat budzi zaufanie i obniża czujność.

Warto potraktować ten incydent jako materiał do przeglądu własnych procedur. Czy zespół umie odróżnić legalny komunikat od fałszywej strony podszywającej się pod zaufaną instytucję. Czy użytkownicy wiedzą, że także narzędzie ochronne może być przynętą. Czy monitoring obejmuje nietypowe pobrania z usług plikowych, uruchomienia archiwów i nietypowe domeny związane z tematyką bezpieczeństwa.

Jeżeli organizacja chce ograniczać ryzyko podobnych incydentów, sama technologia nie wystarczy. Potrzebne są równocześnie jasne zasady weryfikacji, szybkie ścieżki zgłoszeń, ćwiczenie reakcji i regularne przypominanie, że socjotechnika działa najlepiej tam, gdzie odbiorca ufa tematowi wiadomości.