【安全资讯】UAC-0255组织冒充CERT-UA分发AGEWHEEZE远控软件，针对乌克兰多行业发起钓鱼攻击

概要：

近期，乌克兰国家网络事件响应团队CERT-UA披露了一起复杂的网络钓鱼攻击活动，攻击者冒充官方机构，诱骗目标下载并安装伪装成安全工具的恶意软件。此次攻击影响范围广泛，波及政府部门、医疗机构、金融机构及教育机构等多个关键领域，凸显了利用社会工程学进行高级持续性威胁（APT）攻击的严重性。

主要内容：

CERT-UA在2026年3月26日至27日监测到，攻击者以UAC-0255为标识，冒充CERT-UA向乌克兰境内的政府组织、医疗中心、安保公司、教育机构、金融机构及软件公司等大量发送钓鱼邮件。邮件诱导收件人从Files.fm服务下载受密码保护的压缩包（如“CERT_UA_protection_tool.zip”），并安装所谓的“专业安全软件”。

攻击者搭建了仿冒网站cert-ua[.]tech，复制了CERT-UA官方页面内容，并提供了恶意工具的下载说明。经分析，该可执行文件实为一种基于Go语言开发的多功能远程访问木马（RAT），被CERT-UA命名为AGEWHEEZE。其命令与控制（C2）服务器位于法国OVH公司的技术平台。

AGEWHEEZE功能全面，除执行命令、管理文件等基本RAT功能外，还支持屏幕内容捕获、鼠标键盘输入模拟、剪贴板操作以及进程和服务管理。为实现持久化驻留，该木马利用Windows注册表、启动目录或计划任务（如“SvcHelper”、“CoreService”）进行安装和提权。其通过WebSocket与C2服务器通信，支持多达二十余种控制命令。

此次攻击的核心技术在于精心的社会工程学伪装与多层基础设施部署。攻击不仅利用了官方机构的公信力，还通过伪造网站和文件托管服务构建了看似可信的攻击链。虽然一个名为“КИБЕР СЕРП”的Telegram频道与此活动存在关联，但CERT-UA尚未确认其直接参与。此事件对乌克兰关键基础设施和企业的网络安全构成了直接威胁。