أوكرانيا تتعرض للهجوم من قبل أدوات قرصنة مختطفة من مجموعة جرائم الإنترنت كونتي
أوكرانيا تتعرض للهجوم من قبل أدوات قرصنة مختطفة من مجموعة جرائم الإنترنت كونتي
Expand
صور جيتي
أفاد باحث في Google أن المتسللين ذوي الدوافع المالية المرتبطين بمجموعة الجرائم الإلكترونية سيئة السمعة Conti يعيدون تخصيص مواردهم لاستخدامها ضد أهداف في أوكرانيا ، مما يشير إلى أن أنشطة الفاعل الضار تتماشى بشكل وثيق مع غزو الكرملين في البلد المجاور له. يوم الأربعاء.
Depuis avril, un groupe que les chercheurs traquent sous le nom d'UAC-0098 a mené une série d'attaques qui ont ciblé des hôtels, des organisations non gouvernementales et d'autres cibles en Ukraine, a rapporté le CERT UA في الماضي. قال بيير مارك مكتب ، الباحث في تحليل التهديدات في Google ، إن بعض أعضاء UAC-0098 هم أعضاء سابقون في كونتي يستخدمون الآن تقنياتهم المتطورة لاستهداف أوكرانيا مع استمرارها في صد الغزو الروسي.
تغيير غير مسبوق
"ركز المهاجم مؤخرًا على المنظمات الأوكرانية والحكومة الأوكرانية والمنظمات الإنسانية وغير الربحية الأوروبية" ، كتب المكتب. "تقدر TAG أن UAC-0098 تصرف كوسيط وصول أولي لمختلف مجموعات برامج الفدية ، بما في ذلك Quantum and Conti ، وهي عصابة روسية للجرائم الإلكترونية تُعرف باسم FIN12 / WIZARD SPIDER."
كتب أن "أنشطة UAC-0098 هي أمثلة تمثيلية للخطوط غير الواضحة بين المجموعات ذات الدوافع المالية والمجموعات المدعومة من الحكومة في أوروبا الشرقية ، مما يوضح ميل الجهات الفاعلة في التهديد إلى تغيير استهدافها لتتماشى مع المصالح الجيوسياسية الإقليمية."
في يونيو ، أبلغ باحثو IBM Security X-Force عن نفس الشيء. وكشف أن مجموعة Trickbot التي تتخذ من روسيا مقراً لها - والتي يقول باحثو AdvIntel أن كونتي استولت عليها فعليًا في وقت سابق من هذا العام - قد "هاجمت أوكرانيا بشكل منهجي منذ الغزو الروسي - وهو تحول غير مسبوق لأن المجموعة لم تستهدف أوكرانيا من قبل."
إن "حملات كونتي ضد أوكرانيا ملحوظة بسبب مدى اختلاف هذا النشاط عن السوابق التاريخية وحقيقة أن هذه الحملات بدت تستهدف أوكرانيا على وجه التحديد بحمولات معينة تشير إلى درجة أعلى من اختيار الهدف ،" قال IBM Security . كتب باحثو X-Force في يوليو.
تشير التقارير الواردة من Google TAG و IBM Security X-Force إلى سلسلة من الحوادث. تلك المدرجة في TAG تشمل:
في أواخر أبريل ، قدمت حملة تصيد عبر البريد الإلكتروني AnchorMail (تسمى "LackeyBuilder"). استخدمت الحملة الشراك الخداعية مع مواضيع مثل "مشروع المواطن النشط" و "تبادل الملفات ، الحجز".
بعد شهر ، استهدفت حملة التصيد الاحتيالي المؤسسات العاملة في صناعة الضيافة. انتحلت رسائل البريد الإلكتروني صفة الشرطة الإلكترونية الوطنية في أوكرانيا وحاولت إصابة الأهداف ببرامج IcedID الضارة.
استهدفت حملة تصيد احتيالي منفصلة صناعة الضيافة ومنظمة غير حكومية مقرها إيطاليا. استخدم حساب فندق مخترق في الهند لخداع أهدافه.
حملة تصيد احتيالي انتحلت شخصية Elon Musk وشركته الفضائية StarLink في محاولة للحصول على أهداف في قطاعات التكنولوجيا والتجزئة والحكومة في أوكرانيا لتثبيت البرامج الضارة.
انتحلت حملة تضم أكثر من 10000 رسالة غير مرغوب فيها صفة دائرة الضرائب الوطنية في أوكرانيا. احتوت رسائل البريد الإلكتروني على ملف ZIP مرفق يستغل CVE-2022-30190 ، وهي ثغرة خطيرة تُعرف باسم Follina. نجحت طلال أبوغزاله في تعطيل الحملة.
تأتي النتائج التي توصلت إليها Google TAG و IBM Security X-Force بعد وثائق مسربة في وقت سابق من هذا العام تظهر أن بعض أعضاء كونتي لديهم علاقات مع الكرملين.
أفاد باحث في Google أن المتسللين ذوي الدوافع المالية المرتبطين بمجموعة الجرائم الإلكترونية سيئة السمعة Conti يعيدون تخصيص مواردهم لاستخدامها ضد أهداف في أوكرانيا ، مما يشير إلى أن أنشطة الفاعل الضار تتماشى بشكل وثيق مع غزو الكرملين في البلد المجاور له. يوم الأربعاء.
Depuis avril, un groupe que les chercheurs traquent sous le nom d'UAC-0098 a mené une série d'attaques qui ont ciblé des hôtels, des organisations non gouvernementales et d'autres cibles en Ukraine, a rapporté le CERT UA في الماضي. قال بيير مارك مكتب ، الباحث في تحليل التهديدات في Google ، إن بعض أعضاء UAC-0098 هم أعضاء سابقون في كونتي يستخدمون الآن تقنياتهم المتطورة لاستهداف أوكرانيا مع استمرارها في صد الغزو الروسي.
تغيير غير مسبوق
"ركز المهاجم مؤخرًا على المنظمات الأوكرانية والحكومة الأوكرانية والمنظمات الإنسانية وغير الربحية الأوروبية" ، كتب المكتب. "تقدر TAG أن UAC-0098 تصرف كوسيط وصول أولي لمختلف مجموعات برامج الفدية ، بما في ذلك Quantum and Conti ، وهي عصابة روسية للجرائم الإلكترونية تُعرف باسم FIN12 / WIZARD SPIDER."
كتب أن "أنشطة UAC-0098 هي أمثلة تمثيلية للخطوط غير الواضحة بين المجموعات ذات الدوافع المالية والمجموعات المدعومة من الحكومة في أوروبا الشرقية ، مما يوضح ميل الجهات الفاعلة في التهديد إلى تغيير استهدافها لتتماشى مع المصالح الجيوسياسية الإقليمية."
في يونيو ، أبلغ باحثو IBM Security X-Force عن نفس الشيء. وكشف أن مجموعة Trickbot التي تتخذ من روسيا مقراً لها - والتي يقول باحثو AdvIntel أن كونتي استولت عليها فعليًا في وقت سابق من هذا العام - قد "هاجمت أوكرانيا بشكل منهجي منذ الغزو الروسي - وهو تحول غير مسبوق لأن المجموعة لم تستهدف أوكرانيا من قبل."
إن "حملات كونتي ضد أوكرانيا ملحوظة بسبب مدى اختلاف هذا النشاط عن السوابق التاريخية وحقيقة أن هذه الحملات بدت تستهدف أوكرانيا على وجه التحديد بحمولات معينة تشير إلى درجة أعلى من اختيار الهدف ،" قال IBM Security . كتب باحثو X-Force في يوليو.
تشير التقارير الواردة من Google TAG و IBM Security X-Force إلى سلسلة من الحوادث. تلك المدرجة في TAG تشمل:
في أواخر أبريل ، قدمت حملة تصيد عبر البريد الإلكتروني AnchorMail (تسمى "LackeyBuilder"). استخدمت الحملة الشراك الخداعية مع مواضيع مثل "مشروع المواطن النشط" و "تبادل الملفات ، الحجز".
بعد شهر ، استهدفت حملة التصيد الاحتيالي المؤسسات العاملة في صناعة الضيافة. انتحلت رسائل البريد الإلكتروني صفة الشرطة الإلكترونية الوطنية في أوكرانيا وحاولت إصابة الأهداف ببرامج IcedID الضارة.
استهدفت حملة تصيد احتيالي منفصلة صناعة الضيافة ومنظمة غير حكومية مقرها إيطاليا. استخدم حساب فندق مخترق في الهند لخداع أهدافه.
حملة تصيد احتيالي انتحلت شخصية Elon Musk وشركته الفضائية StarLink في محاولة للحصول على أهداف في قطاعات التكنولوجيا والتجزئة والحكومة في أوكرانيا لتثبيت البرامج الضارة.
انتحلت حملة تضم أكثر من 10000 رسالة غير مرغوب فيها صفة دائرة الضرائب الوطنية في أوكرانيا. احتوت رسائل البريد الإلكتروني على ملف ZIP مرفق يستغل CVE-2022-30190 ، وهي ثغرة خطيرة تُعرف باسم Follina. نجحت طلال أبوغزاله في تعطيل الحملة.
تأتي النتائج التي توصلت إليها Google TAG و IBM Security X-Force بعد وثائق مسربة في وقت سابق من هذا العام تظهر أن بعض أعضاء كونتي لديهم علاقات مع الكرملين.
Expand
صور جيتي
