UAC-0098 є так званим брокером доступів, який надає доступ до скомпрометованих систем здирницьким угрупованням. Група застосовує банківський троян IcedID.

Цікаво Хакери стверджують, що зламали TikTok і викрали величезну кількість конфіденційних даних

Що відомо

  • TAG відстежує активність UAC-0098 з квітня. Тоді хакери влаштували фішингову кампанію, в рамках якої поширювався бекдор AnchorMail (модифікований Anchor, розроблений угрупованням Conti).
  • Повідомляється, що їхні атаки спостерігалися в період із середини квітня по середину червня. Зловмисники часто змінювали тактики та приманки.
  • Експерти розповідають, що цілями були українські організації (наприклад, готельні мережі), а хакери видавали себе то за Національну кіберполіцію України, то за представників Ілона Маска та компанії StarLink.
  • У наступних кампаніях, націлених на українські організації та європейські неурядові організації, UAC-0098 розповсюджували пейлоади IcedID та Cobalt Strike через фішингові атаки.

Грунтуючись на кількох індикаторах, TAG вважає, що деякі члени UAC-0098 є колишніми учасниками кіберзлочинної групи Conti, котрі переорієнтували свої методи для атак на Україну,
​– заявили дослідники, які знайшли численні збіги між UAC-0098, Trickbot та Conti.

За словами дослідників, діяльність UAC-0098 є яскравим прикладом того, як стираються кордони між фінансово мотивованими та "урядовими" атаками, а хакери можуть змінювати свої цілі, "щоб відповідати регіональним геополітичним інтересам".