UAC-0098 є так званим брокером доступів, який надає доступ до скомпрометованих систем здирницьким угрупованням. Група застосовує банківський троян IcedID.
Цікаво Хакери стверджують, що зламали TikTok і викрали величезну кількість конфіденційних даних
Що відомо
- TAG відстежує активність UAC-0098 з квітня. Тоді хакери влаштували фішингову кампанію, в рамках якої поширювався бекдор AnchorMail (модифікований Anchor, розроблений угрупованням Conti).
- Повідомляється, що їхні атаки спостерігалися в період із середини квітня по середину червня. Зловмисники часто змінювали тактики та приманки.
- Експерти розповідають, що цілями були українські організації (наприклад, готельні мережі), а хакери видавали себе то за Національну кіберполіцію України, то за представників Ілона Маска та компанії StarLink.
- У наступних кампаніях, націлених на українські організації та європейські неурядові організації, UAC-0098 розповсюджували пейлоади IcedID та Cobalt Strike через фішингові атаки.
Грунтуючись на кількох індикаторах, TAG вважає, що деякі члени UAC-0098 є колишніми учасниками кіберзлочинної групи Conti, котрі переорієнтували свої методи для атак на Україну,
– заявили дослідники, які знайшли численні збіги між UAC-0098, Trickbot та Conti.
За словами дослідників, діяльність UAC-0098 є яскравим прикладом того, як стираються кордони між фінансово мотивованими та "урядовими" атаками, а хакери можуть змінювати свої цілі, "щоб відповідати регіональним геополітичним інтересам".