Một số thành viên của Conti Group Nhắm mục tiêu vào Ukraine trong các cuộc tấn công có động cơ tài chính

Các cuộc tấn công có động cơ tài chính

Các cựu thành viên của băng đảng tội phạm mạng Conti đã dính líu đến 5 chiến dịch khác nhau nhắm vào Ukraine từ tháng 4 đến tháng 8 năm 2022.

Các phát hiện đến từ Nhóm mối đe dọa của Google (TAG), được xây dựng dựa trên một báo cáo trước đó được công bố vào tháng 7 năm 2022, nêu chi tiết về hoạt động mạng tiếp tục nhằm vào quốc gia Đông Âu trong bối cảnh chiến tranh Nga-Ukraine đang diễn ra.

Nhà nghiên cứu Pierre-Marc Bureau của TAG cho biết trong một báo cáo được chia sẻ với The Hacker News: “UAC-0098 là một tác nhân đe dọa trong lịch sử đã phân phối trojan ngân hàng IcedID, dẫn đến các cuộc tấn công ransomware do con người điều hành”.

“Kẻ tấn công gần đây đã chuyển trọng tâm sang các tổ chức Ukraine, chính phủ Ukraine, và các tổ chức phi lợi nhuận và nhân đạo châu Âu.”

UAC-0098 được cho là đã hoạt động như một nhà môi giới truy cập ban đầu cho các nhóm ransomware như Quantum và Conti (hay còn gọi là FIN12, Gold Ulrick hoặc Wizard Spiker), nhóm trước đây đã được Conti nhập vào tháng 4 năm 2022.

Các cuộc tấn công có động cơ tài chính

Một trong những chiến dịch nổi bật do nhóm thực hiện vào tháng 6 năm 2022 là việc lạm dụng lỗ hổng Follina (CVE-2022-30190) trong hệ điều hành Windows để triển khai CrescentImp và Cobalt Strike Beacons tới các máy chủ được nhắm mục tiêu trong các thực thể cơ sở hạ tầng quan trọng và truyền thông.

Xem tiếp:   Cả hai phe trong Chiến tranh Nga-Ukraine sử dụng nặng nề Telegram để thông tin và tin tặc

Nhưng điều này dường như là một phần của một loạt các cuộc tấn công bắt đầu từ cuối tháng 4 năm 2022, khi nhóm tiến hành một chiến dịch lừa đảo qua email để gửi AnchorMail (hay còn gọi là LackeyBuilder), một biến thể của bộ cấy ghép AnchorDNS của nhóm TrickBot sử dụng SMTP cho lệnh. -và kiểm soát.

Các chiến dịch lừa đảo tiếp theo phân phối IcedID và Cobalt Strike đã nhằm vào các tổ chức của Ukraine, liên tục tấn công vào lĩnh vực khách sạn, một số trong số đó đã mạo danh Cảnh sát mạng quốc gia Ukraine hoặc đại diện của Elon Musk và StarLink.

Khoảng giữa tháng 5, UAC-0098 cũng được cho là đã lợi dụng tài khoản bị xâm nhập của một khách sạn ở Ấn Độ để gửi tệp đính kèm chứa tới các tổ chức hoạt động trong ngành khách sạn ở Ukraine, trước khi mở rộng sang các tổ chức phi chính phủ nhân đạo ở Ý.

Các cuộc tấn công tương tự cũng đã được quan sát thấy nhằm vào các thực thể trong lĩnh vực công nghệ, bán lẻ và chính phủ, với tệp nhị phân IcedID được che giấu dưới dạng bản cập nhật của để kích hoạt sự lây nhiễm. Các bước sau khai thác được thực hiện sau một thỏa hiệp thành công vẫn chưa được xác định.

UAC-0098 không phải là nhóm hack duy nhất có liên kết với Conti để mắt đến Ukraine kể từ khi chiến tranh bắt đầu. Vào tháng 7 năm 2022, IBM Security X-Force tiết lộ rằng băng đảng TrickBot đã tổ chức sáu chiến dịch khác nhau để nhắm mục tiêu một cách có hệ thống vào quốc gia có rất nhiều phần mềm độc hại.

Xem tiếp:   FBI, CISA Cảnh báo về việc tin tặc Nga khai thác MFA và lỗi PrintNightmare

Cục cho biết: “Các hoạt động của UAC-0098 là ví dụ tiêu biểu về ranh giới mờ nhạt giữa các nhóm được thúc đẩy tài chính và các nhóm được chính phủ hậu thuẫn ở Đông Âu, minh họa xu hướng các tác nhân đe dọa thay đổi mục tiêu của họ để phù hợp với lợi ích địa chính trị trong khu vực.

“Nhóm thể hiện sự quan tâm mạnh mẽ đến việc vi phạm các doanh nghiệp hoạt động trong ngành khách sạn của Ukraine, đi xa hơn là tung ra nhiều chiến dịch khác biệt chống lại cùng một chuỗi khách sạn.”

.

Check Also

JumpCloud đổ lỗi cho diễn viên ‘Nhà nước quốc gia tinh vi’ vì vi phạm an ninh

Ngày 18 tháng 7 năm 2023THNBảo mật dữ liệu / tấn công mạng Hơn một …