Google, şu anda UAC-0098 olarak izlenen bir tehdit grubunun parçası olan bazı eski Conti siber suçlu üyelerinin Ukrayna örgütlerini ve Avrupa sivil toplum kuruluşlarını (STK'lar) hedeflediğini söylüyor.
UAC-0098, fidye yazılım gruplarına kurumsal ağlardaki tehlikeye giren sistemlere erişim sağlamak için buzlu bankacılık Truva atını kullandığı bilinen bir başlangıç erişim brokeridir.
Şirketin, devlet destekli saldırılardan Google kullanıcıları için bir savunma gücü görevi gören özel bir güvenlik uzmanları ekibi olan Tehdit Analiz Grubu (TAG), Conti bağlantılı Anchormail Backdoor'u iten bir kimlik avı kampanyasını tespit ettikten sonra Nisan ayında bu tehdit grubunu izlemeye başladı.
Google Tag, "UAC-0098 ile ilk karşılaşmada, 'LackeyBuilder' ilk kez gözlendi. Bu, Conti grupları tarafından kullanılan özel arka kapıdan biri olan Anchormail için daha önce açıklanmayan bir inşaatçı." Dedi.
"O zamandan beri, aktör, ilk erişimi elde etmek amacıyla geleneksel olarak siber suç aktörleri tarafından istihdam edilen araç ve hizmetleri kullandı: Icedid Truva, Etterilent kötü niyetli belge oluşturucu ve 'Çalıntı Görüntü Kanıtı' Sosyal Yazılım Kötü Yazılım Dağıtım Hizmeti."
Bu grubun saldırıları Nisan ortasından Haziran ortasına kadar, taktiklerinde, tekniklerinde ve prosedürlerinde (TTP'ler), takım ve cazibelerde sık sık değişiklikler, Ukrayna orgs'larını (otel zincirleri gibi) hedeflerken ve ulusal siber polisi taklit etmek için gözlendi. Ukrayna veya Elon Musk ve Starlink temsilcileri.
Sonraki kampanyalarda UAC-0098, Ukrayna organizasyonlarını ve Avrupa STK'larını hedefleyen kimlik avı saldırılarında buzlu ve kobalt grev kötü niyetli yükler sunuyordu.
Google Tag, ilişkisinin UAC-0098, Trickbot ve Conti siber suç grubu arasındaki birden fazla örtüşmeye dayandığını söylüyor.
Google Tag, "Çoklu göstergelere dayanarak, TAG, UAC-0098'in bazı üyelerinin, Conti siber suç grubunun eski üyeleri olduğunu değerlendiriyor.
"Tag UAC-0098'in FIN12 / Wizard Spider olarak bilinen bir Rus siber suç çetesi olan Quantum ve Conti de dahil olmak üzere çeşitli fidye yazılımı grupları için ilk erişim brokeri olarak hareket ettiğini değerlendiriyor.
"UAC-0098 faaliyetleri, Doğu Avrupa'daki finansal olarak motive edilmiş ve hükümet destekli gruplar arasındaki bulanıklık çizgilerinin temsili örnekleridir ve tehdit aktörlerinin bölgesel jeopolitik çıkarlarla uyumlu olma hedeflerini değiştirme eğilimini göstermektedir."
Tehdit grubunun bugün Google tarafından tespit edilen ve açıklanan faaliyetleri, Ukrayna organizasyonlarına ve hükümet kuruluşlarına yapılan saldırıları hile bot ve conti siber suç çetelerine bağlayan IBM Security X-Force ve Cert-UA'nın önceki raporlarıyla da uyumludur.
Rus merkezli Conti Gang, 2020'de Ryuk Ransomware Group'un yerini alarak bir fidye yazılımı operasyonu başlattı.
Zamanla, çete, Trickbot ve Bazarbackdoor da dahil olmak üzere birden fazla kötü amaçlı yazılım işleminin geliştirilmesini devralarak bir siber suç sendikasına dönüştü.
Ukraynalı bir güvenlik araştırmacısı, Ukrayna'yı işgalinden sonra Rusya'nın yanında kaldıktan sonra Conti fidye yazılımı şifrelemesinin kaynak kodu ile birlikte çeteye ait 170.000'den fazla iç sohbet konuşmasını sızdırdı.
Grup o zamandan beri 'Conti' markasını kapatmış olsa da, siber suç sendikası daha küçük hücrelere ayrıldıktan ve diğer fidye yazılımı veya siber suç operasyonlarını ele geçirdikten veya devraldıktan sonra çalışmaya devam ediyor.
Conti üyeleri tarafından sızan bazı fidye yazılımı çeteleri arasında Blackcat, Hive, Avoslocker, Hello Kitty ve yakın zamanda yeniden canlanan kuantum operasyonu bulunmaktadır.
Diğer Conti üyeleri şimdi Blackbyte, Karakurt ve Bazarcall Collective gibi verileri şifrelemeyen kendi veri gasp operasyonlarını yürütüyorlar.
Ukrayna, kripto sahtekarlık kurbanlarına çarparak siber suç grubunu indiriyor
Rus hackerlar Ukraynalı aktivistlere enfekte etmek için sahte DDOS uygulaması kullanıyor
Ukrayna daha fazla bot çiftliğini söküyor
Ransomware Gang'ın Kobalt Strike Sunucuları Rusya karşıtı mesajlarla birlikte
Fidye yazılımı çeteleri 'geri arama' sosyal mühendislik saldırılarına geçiyor
Kaynak: Bleeping Computer