Бывшие хакеры из группы Conti атакуют Украину и ЕС: что говорят эксперты

9 сентября 2022, 16:03
Читати новину українською

Источник:

Google Threat Analysis Group

Специалисты Google Threat Analysis Group (TAG) сообщили, что бывшие участники хакерской группировки Conti, входящие в UAC-0098, атакуют украинские компании и европейские неправительственные организации.

UAC-0098 является так называемым брокером доступов, который предоставляет доступ к скомпрометированным системам вымогательских группировок. Группа применяет банковский троян IcedID.

Интересно Хакеры утверждают, что взломали TikTok и похитили огромное количество конфиденциальных данных

Что известно

  • TAG отслеживает активность UAC-0098 с апреля. Тогда хакеры устроили фишинговую кампанию, в рамках которой распространялся бэкдор AnchorMail (модифицированный Anchor, разработанный группировкой Conti).
  • Сообщается, что их атаки наблюдались в период с середины апреля по середину июня. Злоумышленники часто меняли тактики и приманки.
  • Эксперты рассказывают, что целями были украинские организации (например, сети гостиниц), а хакеры выдавали себя то за Национальную киберполицию Украины, то за представителей Илона Маска и компании StarLink.
  • В следующих кампаниях, нацеленных на украинские организации и европейские неправительственные организации, UAC-0098 распространяли пейлоады IcedID и Cobalt Strike через фишинговые атаки.

Основываясь на нескольких индикаторах, TAG считает, что некоторые члены UAC-0098 являются бывшими участниками киберпреступной группы Conti, переориентировавшими свои методы для атак на Украину.
– заявили исследователи, нашедшие многочисленные совпадения между UAC-0098, Trickbot и Conti.

По словам исследователей, деятельность UAC-0098 является ярким примером того, как стираются границы между финансово мотивированными и "правительственными" атаками, а хакеры могут изменять свои цели, "чтобы соответствовать региональным геополитическим интересам".