Украина атакована хакерскими инструментами киберпреступной группировки Conti

Expand Гетти Изображений
Хакеры с финансовыми мотивами, связанные с печально известной киберпреступной группой Conti, перераспределяют свои ресурсы для использования против целей в Украине, что указывает на то, что действия злоумышленника тесно связаны с вторжением Кремля в соседнюю страну, сообщил исследователь Google. в среду.

С апреля группа исследователей под именем UAC-0098 осуществила серию атак на отели, неправительственные организации и другие объекты в Украине, сообщал ранее CERT UA. Некоторые из членов UAC-0098 являются бывшими членами Conti, которые теперь используют свои сложные методы для нападения на Украину, которая продолжает отражать российское вторжение, сказал Пьер-Марк Бюро, исследователь Google по анализу угроз.
Беспрецедентное изменение
«Атакующий недавно сосредоточился на украинских организациях, украинском правительстве и европейских гуманитарных и некоммерческих организациях», — пишет Бюро. «По оценкам TAG, UAC-0098 выступал в качестве посредника первоначального доступа для различных групп вымогателей, включая Quantum и Conti, российскую преступную группировку, известную как FIN12/WIZARD SPIDER».

Он написал, что «деятельность UAC-0098 является характерным примером размытых границ между финансово мотивированными и поддерживаемыми государством группами в Восточной Европе, демонстрируя тенденцию злоумышленников изменять свои цели в соответствии с региональными геополитическими интересами».
>
В июне исследователи IBM Security X-Force сообщили о том же. Он рассказал, что базирующаяся в России группа Trickbot, которую, по словам исследователей AdvIntel, фактически перешла к Conti в начале этого года, «систематически атаковала Украину после российского вторжения — беспрецедентный сдвиг, поскольку группа ранее не нападала на Украину».
«Кампании Conti против Украины примечательны из-за степени, в которой эта деятельность отличается от исторических прецедентов, и того факта, что эти кампании, казалось, были специально нацелены на Украину с определенными полезными нагрузками, которые предполагают более высокую степень выбора цели», — говорится в сообщении IBM Security. . Исследователи X-Force написали в июле.

В отчетах Google TAG и IBM Security X-Force упоминается ряд инцидентов. В список TAG входят:
В конце апреля фишинговая кампания по электронной почте доставила AnchorMail (под названием «LackeyBuilder»). Кампания использовала приманки с такими темами, как «Проект «Активный гражданин»» и «File_change,_booking». Месяц спустя фишинговая кампания была нацелена на организации индустрии гостеприимства. Электронные письма выдавали себя за Национальную киберполицию Украины и пытались заразить цели вредоносным ПО IcedID. Отдельная фишинговая кампания была нацелена на индустрию гостеприимства и итальянскую неправительственную организацию. Он использовал скомпрометированную учетную запись отеля в Индии, чтобы обмануть своих целей. Фишинговая кампания, в которой выдавали себя за Илона Маска и его спутниковую компанию StarLink, чтобы получить цели в украинском технологическом, розничном и государственном секторах для установки вредоносного ПО. Кампания с более чем 10 000 спам-сообщений выдавала себя за Национальную налоговую службу Украины. Электронные письма содержали вложенный ZIP-файл, который использовал CVE-2022-30190, критическую уязвимость, известную как Follina. TAG удалось сорвать кампанию. Выводы Google TAG и IBM Security X-Force основаны на просочившихся ранее в этом году документах, показывающих, что некоторые члены Conti связаны с Кремлем.

Технологии Sep 8, 2022 0 38 Add to Reading List

Украина атакована хакерскими инструментами киберпреступной группировки Conti

Украина атакован хакерскими инструментами группы киберпреступников Conti

Хакеры с финансовыми мотивами, связанные с печально известной киберпреступной группой Conti, перераспределяют свои ресурсы для использования против целей в Украине, что указывает на то, что действия злоумышленника тесно связаны с вторжением Кремля в соседнюю страну, сообщил исследователь Google. в среду.

С апреля группа исследователей под именем UAC-0098 осуществила серию атак на отели, неправительственные организации и другие объекты в Украине, сообщал ранее CERT UA. Некоторые из членов UAC-0098 являются бывшими членами Conti, которые теперь используют свои сложные методы для нападения на Украину, которая продолжает отражать российское вторжение, сказал Пьер-Марк Бюро, исследователь Google по анализу угроз.

Беспрецедентное изменение

«Атакующий недавно сосредоточился на украинских организациях, украинском правительстве и европейских гуманитарных и некоммерческих организациях», — пишет Бюро. «По оценкам TAG, UAC-0098 выступал в качестве посредника первоначального доступа для различных групп вымогателей, включая Quantum и Conti, российскую преступную группировку, известную как FIN12/WIZARD SPIDER».

Он написал, что «деятельность UAC-0098 является характерным примером размытых границ между финансово мотивированными и поддерживаемыми государством группами в Восточной Европе, демонстрируя тенденцию злоумышленников изменять свои цели в соответствии с региональными геополитическими интересами».

В июне исследователи IBM Security X-Force сообщили о том же. Он рассказал, что базирующаяся в России группа Trickbot, которую, по словам исследователей AdvIntel, фактически перешла к Conti в начале этого года, «систематически атаковала Украину после российского вторжения — беспрецедентный сдвиг, поскольку группа ранее не нападала на Украину».

«Кампании Conti против Украины примечательны из-за степени, в которой эта деятельность отличается от исторических прецедентов, и того факта, что эти кампании, казалось, были специально нацелены на Украину с определенными полезными нагрузками, которые предполагают более высокую степень выбора цели», — говорится в сообщении IBM Security. . Исследователи X-Force написали в июле.

В отчетах Google TAG и IBM Security X-Force упоминается ряд инцидентов. В список TAG входят:

В конце апреля фишинговая кампания по электронной почте доставила AnchorMail (под названием «LackeyBuilder»). Кампания использовала приманки с такими темами, как «Проект «Активный гражданин»» и «File_change,_booking». Месяц спустя фишинговая кампания была нацелена на организации индустрии гостеприимства. Электронные письма выдавали себя за Национальную киберполицию Украины и пытались заразить цели вредоносным ПО IcedID. Отдельная фишинговая кампания была нацелена на индустрию гостеприимства и итальянскую неправительственную организацию. Он использовал скомпрометированную учетную запись отеля в Индии, чтобы обмануть своих целей. Фишинговая кампания, в которой выдавали себя за Илона Маска и его спутниковую компанию StarLink, чтобы получить цели в украинском технологическом, розничном и государственном секторах для установки вредоносного ПО. Кампания с более чем 10 000 спам-сообщений выдавала себя за Национальную налоговую службу Украины. Электронные письма содержали вложенный ZIP-файл, который использовал CVE-2022-30190, критическую уязвимость, известную как Follina. TAG удалось сорвать кампанию. Выводы Google TAG и IBM Security X-Force основаны на просочившихся ранее в этом году документах, показывающих, что некоторые члены Conti связаны с Кремлем.