UAC-0098 является так называемым брокером доступов, который предоставляет доступ к скомпрометированным системам вымогательских группировок. Группа применяет банковский троян IcedID.
Интересно Хакеры утверждают, что взломали TikTok и похитили огромное количество конфиденциальных данных
Что известно
- TAG отслеживает активность UAC-0098 с апреля. Тогда хакеры устроили фишинговую кампанию, в рамках которой распространялся бэкдор AnchorMail (модифицированный Anchor, разработанный группировкой Conti).
- Сообщается, что их атаки наблюдались в период с середины апреля по середину июня. Злоумышленники часто меняли тактики и приманки.
- Эксперты рассказывают, что целями были украинские организации (например, сети гостиниц), а хакеры выдавали себя то за Национальную киберполицию Украины, то за представителей Илона Маска и компании StarLink.
- В следующих кампаниях, нацеленных на украинские организации и европейские неправительственные организации, UAC-0098 распространяли пейлоады IcedID и Cobalt Strike через фишинговые атаки.
Основываясь на нескольких индикаторах, TAG считает, что некоторые члены UAC-0098 являются бывшими участниками киберпреступной группы Conti, переориентировавшими свои методы для атак на Украину.
– заявили исследователи, нашедшие многочисленные совпадения между UAC-0098, Trickbot и Conti.
По словам исследователей, деятельность UAC-0098 является ярким примером того, как стираются границы между финансово мотивированными и "правительственными" атаками, а хакеры могут изменять свои цели, "чтобы соответствовать региональным геополитическим интересам".