在过去的五个月里,谷歌一直在追踪一个名为 UAC-0098 的出于经济动机的威胁行为者,该行为者一直在针对乌克兰和欧洲的多个实体进行多次恶意活动。
该组织的活动与俄罗斯政府支持的攻击者的活动密切相关,谷歌的威胁分析小组 (TAG) 认为,至少 UAC-0098 的一些成员是 Conti 勒索软件团伙的前成员。
UAC-0098 因在攻击中使用IcedID 银行木马而广为人知,导致部署人为操作的勒索软件,充当 Quantum 和 Conti 等勒索软件组的访问代理。最近,威胁行为者的目标主要是乌克兰政府,该国的各种组织以及欧洲和一些非营利组织。
4月下旬,UAC-0098 发起了一场电子邮件网络钓鱼活动,以传递 AnchorMail,这是由 Conti 集团开发的 Anchor 后门的变体,之前安装为TrickBot模块。
谷歌表示,这些攻击似乎具有经济和政治动机,而且之所以引人注目,是因为 LackeyBuilder 和批处理脚本被用于动态构建 AnchorMail 。
从4月中旬到6月中旬,该组织使用 IcedID 和Cobalt Strike等恶意软件发起了针对乌克兰酒店业组织的电子邮件活动。
在5月的一次活动中,攻击者冒充乌克兰国家网络警察发送网络钓鱼电子邮件,而在另一次活动中,他们使用了印度一家酒店的被盗账户。同一个电子邮件帐户也被用于针对意大利的人道主义非政府组织,同样使用 IcedID。
同样在5月,UAC-0098冒充Elon Musk 和 StarLink 的代表发送网络钓鱼电子邮件。其中一些电子邮件针对政府、零售和技术部门的各种乌克兰组织。
5月下旬,攻击者以网络钓鱼电子邮件为目标,攻击乌克兰新闻学院 (AUP),该电子邮件链接到 Dropbox 上的恶意文档,该文档将获取 Cobalt Strike dll。酒店业的组织也成为这些电子邮件的目标。
6月,UAC-0098 被发现利用 CVE-2022-30190,这是一个Windows 漏洞,也称为 Follina。谷歌表示,它通过 10,000 多封冒充乌克兰国家税务局的电子邮件破坏了垃圾邮件活动,这些电子邮件获取了 Cobalt Strike 信标。
谷歌指出:“UAC-0098 活动是东欧经济动机和政府支持的团体之间界限模糊的代表性例子,说明了威胁行为者改变目标以符合地区地缘政治利益的趋势。”
精彩推荐
洛杉机学区遭到史无前例的网路攻击,所有机算机系统被迫关闭
2022.09.08
三星承认泄露大量美国客户敏感数据黑产对抗监测:会自动“繁殖”的寄生虫病毒,致万余网站遭受攻击
2022.09.05
Ragnar Locker 声称攻击葡萄牙航空公司,并喊话数百GB数据将受到影响
2022
.09.02
