Die Ukraine wird von gekaperten Hacking-Tools der Cybercrime-Gruppe Conti angegriffen
Die Ukraine wird von gekaperten Hacking-Tools der Cybercrime-Gruppe Conti angegriffen
Expand
Getty Images
Finanziell motivierte Hacker, die mit der berüchtigten Cyberkriminalitätsgruppe Conti in Verbindung stehen, verteilen ihre Ressourcen neu, um sie gegen Ziele in der Ukraine einzusetzen, was darauf hindeutet, dass die Aktivitäten des böswilligen Akteurs eng mit der Invasion des Kremls in seinem Nachbarland übereinstimmen, berichtete ein Google-Forscher am Mittwoch.
Seit April hat eine Gruppe von Forschern unter dem Namen UAC-0098 eine Reihe von Angriffen auf Hotels, Nichtregierungsorganisationen und andere Ziele in der Ukraine durchgeführt, berichtete CERT UA in der Vergangenheit. Einige der UAC-0098-Mitglieder sind ehemalige Conti-Mitglieder, die nun ihre ausgefeilten Techniken einsetzen, um die Ukraine anzugreifen, während sie weiterhin die russische Invasion abwehrt, sagte Pierre-Marc Bureau, ein Forscher bei Google Threat Analysis.
Eine beispiellose Veränderung
"Der Angreifer hat sich kürzlich auf ukrainische Organisationen, die ukrainische Regierung und europäische humanitäre und gemeinnützige Organisationen konzentriert", schrieb Bureau. „TAG geht davon aus, dass UAC-0098 als Initial Access Broker für verschiedene Ransomware-Gruppen fungierte, darunter Quantum und Conti, eine russische Cyberkriminalitätsbande, die als FIN12/WIZARD SPIDER bekannt ist.“
Er schrieb, dass "UAC-0098-Aktivitäten repräsentative Beispiele für verschwommene Grenzen zwischen finanziell motivierten und von der Regierung unterstützten Gruppen in Osteuropa sind und eine Tendenz von Bedrohungsakteuren veranschaulichen, ihre Ausrichtung zu ändern, um sie an regionalen geopolitischen Interessen auszurichten."
Im Juni berichteten Forscher von IBM Security X-Force in etwa dasselbe. Er enthüllte, dass die in Russland ansässige Trickbot-Gruppe – die AdvIntel-Forschern zufolge Anfang dieses Jahres effektiv von Conti übernommen wurde – „die Ukraine seit der russischen Invasion systematisch angegriffen hat – eine beispiellose Veränderung, da die Gruppe die Ukraine zuvor nicht angegriffen hatte.“ p>
Die „Conti-Kampagnen gegen die Ukraine sind bemerkenswert wegen des Ausmaßes, in dem sich diese Aktivität von historischen Präzedenzfällen unterscheidet, und der Tatsache, dass diese Kampagnen mit bestimmten Payloads, die auf ein höheres Maß an Zielauswahl hindeuten, anscheinend speziell auf die Ukraine abzielen“, sagte IBM Security . X-Force-Forscher schrieben im Juli.
Berichte von Google TAG und IBM Security X-Force nennen eine Reihe von Vorfällen. Zu den nach TAG aufgelisteten gehören:
Ende April lieferte eine E-Mail-Phishing-Kampagne AnchorMail (genannt „LackeyBuilder“). Die Kampagne nutzte Köder mit Themen wie „‚Active Citizen‘ Project“ und „File_change,_booking“.
Einen Monat später zielte eine Phishing-Kampagne auf Organisationen im Gastgewerbe ab. Die E-Mails gaben sich als die Nationale Cyberpolizei der Ukraine aus und versuchten, Ziele mit IcedID-Malware zu infizieren.
Eine separate Phishing-Kampagne zielte auf das Gastgewerbe und eine in Italien ansässige NGO ab. Er benutzte ein kompromittiertes Hotelkonto in Indien, um seine Ziele zu täuschen.
Eine Phishing-Kampagne, die sich als Elon Musk und sein Satellitenunternehmen StarLink ausgab, um Ziele im ukrainischen Technologie-, Einzelhandels- und Regierungssektor dazu zu bringen, Malware zu installieren.
Eine Kampagne mit mehr als 10.000 Spam-Nachrichten gab sich als Nationaler Steuerdienst der Ukraine aus. Die E-Mails enthielten eine angehängte ZIP-Datei, die CVE-2022-30190 ausnutzte, eine kritische Schwachstelle namens Follina. TAG gelang es, die Kampagne zu stören.
Die Ergebnisse von Google TAG und IBM Security X-Force folgen Anfang dieses Jahres durchgesickerten Dokumenten, die zeigen, dass einige Conti-Mitglieder Verbindungen zum Kreml haben.
Finanziell motivierte Hacker, die mit der berüchtigten Cyberkriminalitätsgruppe Conti in Verbindung stehen, verteilen ihre Ressourcen neu, um sie gegen Ziele in der Ukraine einzusetzen, was darauf hindeutet, dass die Aktivitäten des böswilligen Akteurs eng mit der Invasion des Kremls in seinem Nachbarland übereinstimmen, berichtete ein Google-Forscher am Mittwoch.
Seit April hat eine Gruppe von Forschern unter dem Namen UAC-0098 eine Reihe von Angriffen auf Hotels, Nichtregierungsorganisationen und andere Ziele in der Ukraine durchgeführt, berichtete CERT UA in der Vergangenheit. Einige der UAC-0098-Mitglieder sind ehemalige Conti-Mitglieder, die nun ihre ausgefeilten Techniken einsetzen, um die Ukraine anzugreifen, während sie weiterhin die russische Invasion abwehrt, sagte Pierre-Marc Bureau, ein Forscher bei Google Threat Analysis.
Eine beispiellose Veränderung
"Der Angreifer hat sich kürzlich auf ukrainische Organisationen, die ukrainische Regierung und europäische humanitäre und gemeinnützige Organisationen konzentriert", schrieb Bureau. „TAG geht davon aus, dass UAC-0098 als Initial Access Broker für verschiedene Ransomware-Gruppen fungierte, darunter Quantum und Conti, eine russische Cyberkriminalitätsbande, die als FIN12/WIZARD SPIDER bekannt ist.“
Er schrieb, dass "UAC-0098-Aktivitäten repräsentative Beispiele für verschwommene Grenzen zwischen finanziell motivierten und von der Regierung unterstützten Gruppen in Osteuropa sind und eine Tendenz von Bedrohungsakteuren veranschaulichen, ihre Ausrichtung zu ändern, um sie an regionalen geopolitischen Interessen auszurichten."
Im Juni berichteten Forscher von IBM Security X-Force in etwa dasselbe. Er enthüllte, dass die in Russland ansässige Trickbot-Gruppe – die AdvIntel-Forschern zufolge Anfang dieses Jahres effektiv von Conti übernommen wurde – „die Ukraine seit der russischen Invasion systematisch angegriffen hat – eine beispiellose Veränderung, da die Gruppe die Ukraine zuvor nicht angegriffen hatte.“ p>
Die „Conti-Kampagnen gegen die Ukraine sind bemerkenswert wegen des Ausmaßes, in dem sich diese Aktivität von historischen Präzedenzfällen unterscheidet, und der Tatsache, dass diese Kampagnen mit bestimmten Payloads, die auf ein höheres Maß an Zielauswahl hindeuten, anscheinend speziell auf die Ukraine abzielen“, sagte IBM Security . X-Force-Forscher schrieben im Juli.
Berichte von Google TAG und IBM Security X-Force nennen eine Reihe von Vorfällen. Zu den nach TAG aufgelisteten gehören:
Ende April lieferte eine E-Mail-Phishing-Kampagne AnchorMail (genannt „LackeyBuilder“). Die Kampagne nutzte Köder mit Themen wie „‚Active Citizen‘ Project“ und „File_change,_booking“.
Einen Monat später zielte eine Phishing-Kampagne auf Organisationen im Gastgewerbe ab. Die E-Mails gaben sich als die Nationale Cyberpolizei der Ukraine aus und versuchten, Ziele mit IcedID-Malware zu infizieren.
Eine separate Phishing-Kampagne zielte auf das Gastgewerbe und eine in Italien ansässige NGO ab. Er benutzte ein kompromittiertes Hotelkonto in Indien, um seine Ziele zu täuschen.
Eine Phishing-Kampagne, die sich als Elon Musk und sein Satellitenunternehmen StarLink ausgab, um Ziele im ukrainischen Technologie-, Einzelhandels- und Regierungssektor dazu zu bringen, Malware zu installieren.
Eine Kampagne mit mehr als 10.000 Spam-Nachrichten gab sich als Nationaler Steuerdienst der Ukraine aus. Die E-Mails enthielten eine angehängte ZIP-Datei, die CVE-2022-30190 ausnutzte, eine kritische Schwachstelle namens Follina. TAG gelang es, die Kampagne zu stören.
Die Ergebnisse von Google TAG und IBM Security X-Force folgen Anfang dieses Jahres durchgesickerten Dokumenten, die zeigen, dass einige Conti-Mitglieder Verbindungen zum Kreml haben.
Expand
Getty Images
