Колишні хакери з групи Conti атакують Україну та ЄС: що кажуть експерти

Олександр Гайдамашко

Джерело:

Google Threat Analysis Group

Google розкрила нове угруповання хакерів, що атакує Україну - Техно

Ілюстративне фото / 24 канал

Фахівці Google Threat Analysis Group (TAG) повідомили, що колишні учасники хакерського угруповання Conti, які тепер входять до UAC-0098, атакують українські компанії та європейські неурядові організації.

UAC-0098 є так званим брокером доступів, який надає доступ до скомпрометованих систем здирницьким угрупованням. Група застосовує банківський троян IcedID.

Цікаво Хакери стверджують, що зламали TikTok і викрали величезну кількість конфіденційних даних

Що відомо

TAG відстежує активність UAC-0098 з квітня. Тоді хакери влаштували фішингову кампанію, в рамках якої поширювався бекдор AnchorMail (модифікований Anchor, розроблений угрупованням Conti).
Повідомляється, що їхні атаки спостерігалися в період із середини квітня по середину червня. Зловмисники часто змінювали тактики та приманки.
Експерти розповідають, що цілями були українські організації (наприклад, готельні мережі), а хакери видавали себе то за Національну кіберполіцію України, то за представників Ілона Маска та компанії StarLink.
У наступних кампаніях, націлених на українські організації та європейські неурядові організації, UAC-0098 розповсюджували пейлоади IcedID та Cobalt Strike через фішингові атаки.

Грунтуючись на кількох індикаторах, TAG вважає, що деякі члени UAC-0098 є колишніми учасниками кіберзлочинної групи Conti, котрі переорієнтували свої методи для атак на Україну,
– заявили дослідники, які знайшли численні збіги між UAC-0098, Trickbot та Conti.

За словами дослідників, діяльність UAC-0098 є яскравим прикладом того, як стираються кордони між фінансово мотивованими та "урядовими" атаками, а хакери можуть змінювати свої цілі, "щоб відповідати регіональним геополітичним інтересам".