Η Google λέει ότι ορισμένα πρώην μέλη συμμοριών κυβερνοεγκλήματος Conti, τώρα μέλη μιας ομάδας απειλών που παρακολουθείται ως UAC-0098, στοχεύουν ουκρανικές οργανώσεις και ευρωπαϊκές μη κυβερνητικές οργανώσεις (ΜΚΟ).

Το UAC-0098 είναι ένας μεσίτης αρχικής πρόσβασης γνωστός για τη χρήση του τραπεζικού trojan IcedID για την παροχή πρόσβασης σε ομάδες ransomware σε παραβιασμένα συστήματα εντός των εταιρικών δικτύων.

Η Ομάδα Ανάλυσης Απειλών (TAG) της εταιρείας, μια ειδική ομάδα ειδικών σε θέματα ασφάλειας που ενεργεί ως αμυντική δύναμη για τους χρήστες της Google από κρατικές επιθέσεις, άρχισε να παρακολουθεί αυτήν την ομάδα απειλών τον Απρίλιο, αφού εντόπισε μια καμπάνια ηλεκτρονικού ψαρέματος που ώθησε την κερκόπορτα του Conti-linked AnchorMail.

“Στην αρχική συνάντηση με το UAC-0098, το “lackeyBuilder” παρατηρήθηκε για πρώτη φορά. Αυτό είναι ένα μη αποκαλυπτόμενο πρόγραμμα δημιουργίας για το AnchorMail, ένα από τα ιδιωτικά backdoors που χρησιμοποιούν οι ομάδες Conti”, δήλωσε η Google TAG.

«Έκτοτε, ο ηθοποιός χρησιμοποίησε με συνέπεια εργαλεία και υπηρεσίες που παραδοσιακά χρησιμοποιούσαν φορείς του εγκλήματος στον κυβερνοχώρο για την απόκτηση αρχικής πρόσβασης: IcedID trojan, EtterSilent κακόβουλο πρόγραμμα δημιουργίας εγγράφων και την υπηρεσία διανομής κακόβουλου λογισμικού κοινωνικής μηχανικής «Stolen Image Evidence».

Οι επιθέσεις αυτής της ομάδας παρατηρήθηκαν από τα μέσα Απριλίου έως τα μέσα Ιουνίου, με συχνές αλλαγές στις τακτικές, τις τεχνικές και τις διαδικασίες της (TTP), τα εργαλεία και τα θέλγητρά της, ενώ στοχεύουν οργανώσεις της Ουκρανίας (όπως αλυσίδες ξενοδοχείων) και υποδύονται την Εθνική Αστυνομία Κυβερνοχώρου της Ουκρανίας ή εκπρόσωποι των Elon Musk και StarLink.

Σε επόμενες εκστρατείες, το UAC-0098 εμφανίστηκε να παρέχει κακόβουλα φορτία IcedID και Cobalt Strike σε επιθέσεις phishing που στοχεύουν ουκρανικούς οργανισμούς και ευρωπαϊκές ΜΚΟ.