Специалисты Google Threat Analysis Group (TAG) сообщили, что некоторые из бывших членов хак-группы Conti, которые теперь входят в группировку UAC-0098, атакуют украинские компании и организации, а также европейские неправительственные организации.
Эксперты рассказывают, что UAC-0098 – это брокер доступов, известный благодаря тому, что применяет банковский троян IcedID, ради предоставления доступов к скомпрометированным системам вымогательским группировкам.
TAG отслеживает активность UAC-0098 с апреля текущего года, после обнаружения фишинговой кампании, в рамках которой распространялся бэкдор AnchorMail (вариант бэкдора Anchor, разработанного Conti, который ранее устанавливался как модуль TrickBot), связанный с Conti.
«Когда мы столкнулись с UAC-0098, впервые был обнаружен lackeyBuilder. Это ранее неизвестный билдер AnchorMail, одного из приватных бэкдоров, используемых Conti. С тех пор злоумышленники постоянно использовали инструменты и сервисы, традиционно применяемые преступниками для получения начального доступа: троян IcedID, билдер вредоносных документов EtterSilent, а также сервис Stolen Image Evidence для распространения вредоносного ПО с помощью социальной инженерии», — рассказывают аналитики.
Атаки группировки наблюдались в период с середины апреля по середину июня, и злоумышленники часто меняли тактики и приманки. Эксперты рассказывают, что атаки затрагивали различные украинские организации (к примеру, гостиничные сети), а хакеры выдавали себя то за Национальную киберполицию Украины, то за представителей Илона Маска и компании StarLink.
В последующих кампаниях, нацеленных на украинские организации и европейские НПО, UAC-0098 распространяли пейлоады IcedID и Cobalt Strike через фишинговые атаки.
Исследователи заявляют, что атрибуция атак основана на многочисленных совпадениях между тактиками UAC-0098, Trickbot и Conti.
«Основываясь на нескольких индикаторах, TAG считает, что некоторые члены UAC-0098 являются бывшими участниками киберпреступной группы Conti, которые переориентировали свои методы для атак на Украину.
TAG полагает, что UAC-0098 выступает в качестве брокера первоначальных доступов для различных вымогательских групп, включая Quantum и Conti, русскоязычную преступную группировку, известную как FIN12/WIZARD SPIDER», — гласит отчет компании.
По словам исследователей, деятельность UAC-0098 — яркий пример того, как стираются границы между финансово мотивированными и «правительственными» атаками, а хакеры могут менять свои цели, «чтобы соответствовать региональным геополитическим интересам».
