駭客冒用 CERT-UA 名義透過釣魚郵件散布 Agewheeze

駭客冒用 CERT-UA 名義透過釣魚郵件散布 Agewheeze 惡意程式，近期已成為重要資安威脅。

隨著俄烏戰爭持續，針對烏克蘭的網路攻擊已經成為常態化威脅，而近期這起事件則顯示，攻擊者開始進一步利用「信任機構本身」作為攻擊入口。

烏克蘭電腦緊急應變中心（CERT-UA）近期發出警告，指出一個名為 UAC-0255 的駭客組織，冒用其名義進行釣魚攻擊。這類手法並不新，但在當前環境下，其效果被大幅放大。當攻擊來自一個本應提供安全警示的官方機構時，收件人對內容的信任程度自然提高，也使得社交工程的成功率顯著上升。

此次攻擊主要透過郵件傳送受密碼保護的壓縮檔，鎖定對象涵蓋政府機關、醫療機構、資安公司、教育單位與金融機構等關鍵部門。從選擇目標的方式來看，攻擊者並非隨機散播，而是具備一定程度的目標導向與策略規劃。郵件內容引導收件人下載並安裝所謂的「防護工具」，一旦執行，即會被植入名為 Agewheeze 的遠端存取程式。

Agewheeze 本質上屬於遠端存取木馬（RAT），但其功能並不侷限於基本控制。除了執行指令與檔案管理外，還具備螢幕擷取、鍵盤與滑鼠模擬、剪貼簿監控，以及系統服務與程序監控等能力。這意味著，一旦裝置遭入侵，攻擊者幾乎可以完整掌握使用者行為與系統狀態。

從技術細節來看，這次攻擊在偽裝層面也有一定程度的強化。壓縮檔名稱刻意設計為類似官方工具，例如 CERT_UA_protection_tool.zip，並透過雲端檔案分享服務進行散布，以降低被攔截的機率。同時，攻擊者還建立了仿冒網站，並使用 AI 生成內容，使整體呈現更具可信度。這些做法的目的很明確，就是降低使用者判斷門檻，讓攻擊更容易成立。

值得注意的是，駭客組織 Cyber Serp 已公開宣稱對此行動負責，並聲稱已向大量 ukr.net 信箱發送釣魚郵件，導致超過 20 萬台裝置被入侵。儘管這類數據仍需審慎看待，但其所呈現的規模，已顯示該攻擊行動具備一定的執行能力與資源投入。

此外，該組織近期也聲稱入侵烏克蘭資安公司 Cipher，並取得包含原始碼、私鑰與客戶資料在內的敏感資訊。對此，Cipher 表示實際情況為第三方科技公司員工憑證遭入侵，攻擊者僅取得有限專案存取權限，且未涉及核心基礎設施。這類「部分真實、部分誇大」的資訊發布策略，在近年攻擊行動中並不罕見，主要目的在於放大影響力與心理壓力。

整體來看，這起事件的關鍵並不在於技術突破，而在於攻擊策略的演進。攻擊者不僅利用漏洞與惡意程式，更進一步結合身分冒用、AI 內容生成與雲端散布機制，形成一套更完整的社交工程攻擊鏈。

換句話說，當攻擊開始建立在「看起來正確」的資訊之上時，單純依賴使用者判斷的防禦方式將越來越難奏效。這也意味著，未來的資安風險將不再只是技術問題，而是信任機制本身的挑戰。

參考來源: https://www.ithome.com.tw/news/174857