Гетти Изображений
Финансово мотивированные хакеры, связанные с печально известной группой киберпреступников Conti, перенаправляют свои ресурсы для использования против целей в Украине, что указывает на то, что действия злоумышленника тесно связаны с вторжением Кремля в соседнюю страну, Google Об этом в среду сообщил исследователь.
Как ранее сообщал CERT UA, с апреля группа исследователей, отслеживающая UAC-0098, провела серию атак, направленных против отелей, неправительственных организаций и других целей в Украине. Некоторые из членов UAC-0098 являются бывшими членами Conti, которые теперь используют свои сложные методы, чтобы нацелиться на Украину, которая продолжает отражать вторжение России, Пьер-Марк Бюро, исследователь в GoogleОб этом говорится в сообщении Threat Analysis.
Беспрецедентный сдвиг
«Злоумышленник недавно переключил свое внимание на украинские организации, правительство Украины и европейские гуманитарные и некоммерческие организации», — пишет Бюро. «TAG оценивает, что UAC-0098 выступал в качестве посредника первоначального доступа для различных групп вымогателей, включая Quantum и Conti, российскую преступную группировку, известную как FIN12 / WIZARD SPIDER».
Он написал, что «деятельность UAC-0098 является репрезентативным примером стирания границ между финансово мотивированными и поддерживаемыми правительством группами в Восточной Европе, иллюстрируя тенденцию к тому, что субъекты угрозы меняют свои цели, чтобы соответствовать региональным геополитическим интересам».
В июне исследователи из IBM Security X-Force сообщили примерно то же самое. Выяснилось, что базирующаяся в России группа Trickbot, которая, по словам исследователей из AdvIntel, была фактически поглощена Conti в начале этого года, «систематически атаковала Украину с момента российского вторжения — беспрецедентный сдвиг, поскольку группа ранее не нацеливалась на Украину». .”
«Кампании Conti против Украины примечательны тем, насколько эта деятельность отличается от исторических прецедентов, и тем фактом, что эти кампании были специально нацелены на Украину с некоторыми полезными нагрузками, которые предполагают более высокую степень выбора цели», — сообщает IBM Security X-Force. исследователи писали в июле.
Отчеты от Google TAG и IBM Security X-Force ссылаются на серию инцидентов. В список TAG входят:
- Фишинговая кампания по электронной почте в конце апреля доставила AnchorMail (известную как «LackeyBuilder»). В кампании использовались приманки с такими темами, как «Проект «Активный гражданин»» и «Файл_смена,_бронирование».
- Месяц спустя фишинговая кампания была нацелена на организации индустрии гостеприимства. Электронные письма выдавали себя за Национальную киберполицию Украины и пытались заразить цели вредоносным ПО IcedID.
- Отдельная фишинговая кампания была нацелена на индустрию гостеприимства и неправительственную организацию, расположенную в Италии. Он использовал скомпрометированную учетную запись отеля в Индии, чтобы обмануть своих целей.
- Фишинговая кампания, которая выдавала себя за Илона Маска и его сателлита StarLink в попытке получить цели в украинском технологическом, розничном и государственном секторах для установки вредоносного ПО.
- Кампания с более чем 10 000 спам-рассылок выдавала себя за Государственную налоговую службу Украины. К электронным письмам был прикреплен ZIP-файл, который использовал CVE-2022-30190, критическую уязвимость, известную как Follina. TAG удалось сорвать кампанию.
Выводы Google TAG и IBM Security X-Force отслеживают просочившиеся ранее в этом году документы, показывающие, что некоторые члены Conti связаны с Кремлем.
