Специалистам из TAG удалось связать бывших участников группировки Conti с UAC-0098 (такой идентификатор получила группировка от CERT-UA) с помощью анализа их методов и фишинговых кампаний, направленных на украинское правительство, организации, а также различные европейские гуманитарные и некоммерческие организации.
В своем блоге специалисты сообщили, что ранее UAC-0098 использовала банковский троян IcedID для проведения вымогательских атак, но потом резко начала заниматься фишинговыми атаками, выступая в роли брокера начального доступа для других киберпреступников. Кроме того, TAG предоставила два признака, связывающие UAC-0098 с Conti:
В атаках UAC-0098 использует скрытый бэкдор, доступный только тем группировкам, которые работают с Conti;
UAC-0098 использует C&C-инструмент, разработанный Conti.
В ходе недавних кампаний группировка рассылала фишинговые письма ряду крупных сетей украинских гостиниц, выдавая себя за Киберполицию Украины. Кроме того, хакеры пытались выдать себя за представителей Starlink, отправляя письма со ссылками на установщики вредоносных программ, замаскированные под ПО, необходимое для подключения к интернету через системы Starlink.
Не стоит забывать и про нашумевшую Follina – UAC-0098 использовала эту уязвимость в своих атаках, однако TAG неизвестно, что злоумышленники делали после взлома систем с ее помощью.
Подводя итоги, исследователи Google отметили, что границы между различными хакерскими группировками в Восточной Европе очень размыты. По их мнению, это является показателем того, как часто хакеры адаптируются под различные геополитические ситуации в данном регионе.
Источник: SecurityLab