Аналітики з кібербезпеки виявили раніше невідоме російське хакерське угруповання GREYVIBE, яке вже майже рік безперервно атакує Україну. Напрями його активності відповідають інтересам кремля, зокрема у сфері збору розвідувальних даних про Україну в контексті російсько-української війни.
Аналітики з кібербезпеки виявили раніше невідоме російське хакерське угруповання GREYVIBE, яке вже майже рік безперервно атакує Україну. Напрями його активності відповідають інтересам кремля, зокрема у сфері збору розвідувальних даних про Україну в контексті російсько-української війни.
Для доставки шкідливого програмного забезпечення різним жертвам угруповання використовувало кілька векторів атак, зокрема фішингові листи з цільовим спрямуванням, фейкові сторінки перевірки капчі та підроблені сайти українських еротичних клубів. У цих кампаніях група покладалася на власні розробки: обфускатори, завантажувачі та шкідливий софт, повідомляє The Hacker News з посиланням на дані фінської компанії з кібербезпеки WithSecure.
Географія жертв угруповання охоплює військові, державні, цивільні та комерційні організації. Попри свою діяльність в інтересах кремля, GREYVIBE також має зв’язки з ширшою російською кіберзлочинною екосистемою через деяких своїх учасників, які, як вважають, є теперішніми або колишніми хакерами-кримінальниками.
Крім того, є докази, які свідчать, що ворог покладається на генеративний штучний інтелект та великі мовні моделі, щоб значно посилити свої операції. Зважаючи на всі факти, WithSecure змальовує портрет угруповання «низького або помірного рівня складності», яке припускається серйозних помилок у сфері операційної безпеки, але водночас використовує ШІ-інструменти для покращення розробки свого шкідливого софту.
Для проведення масштабних кібератак проти України угруповання GREYVIBE використовує широкий арсенал інструментів, значно підсилений можливостями генеративного ШІ (ChatGPT, Gemini, Ideogram AI). Хакери застосовують різноманітні вектори зараження — від цільового фішингу (PhantomMail) та фейкових сторінок капчі під виглядом Zoom (PhantomClick) до підставних сайтів еротичних клубів (PrincessClub), фальшивих фондів допомоги ЗСУ (DroneLink) та замаскованих під російські термінали вікон входу (Nebo). За допомогою цих пасток зловмисники інфікують пристрої жертв шпигунським софтом та троянами віддаленого доступу (FallSpy, LegionRelay, PhantomRelay), які дозволяють їм таємно записувати аудіо та відео, робити знімки екрана, викрадати конфіденційні файли, паролі з браузерів та листування в Telegram і WhatsApp.
Компанія з кібербезпеки зазначає, що застосування ШІ забезпечує GREYVIBE низку переваг, зокрема дозволяє нівелювати прогалини в технічній експертизі, прискорює життєвий цикл розробки та зменшує залежність від раніше відомого шкідливого ПЗ чи інструментарію, що ускладнює подальшу атрибуцію кібератак.
