可用-安全

谷歌 TAG 安全团队发现 UAC-0098 黑客组织吸纳了 Conti 勒索软件团伙前成员

  • 浏览次数 17192
  • 喜欢 0
  • 评分 12345

谷歌威胁分析小组(TAG)在周三的一篇文章中提到 —— 某个吸纳了前 Conti 勒索软件团伙的网络犯罪组织,正针对乌克兰政府和欧洲非政府组织发起攻击。明面上,俄乌冲突已经持续了半年多。但在幕后,包括黑客攻击和电子战在内的网络活动,也一直在暗中展开较量。

5a07933354634e5

文件分享网站上的 UAC-0098 有效载荷(图自:Google TAG

最新消息是,TAG 的 Pierre-Marc Bureau 指出 —— 追求利润的网络犯罪组织,也在该领域变得愈加活跃。

2022 年 4-8 月,TAG 一直在追踪涉乌网络行动。有线索表明它们与得到俄方支持的攻击者密切相关。

其中之一,已被乌克兰国家计算机紧急响应小组(CERT)指定为 UAC-0098 。

80a8e882b6c9eed

托管的被盗线索

与此同时,TAG 又将之与肆虐全球的 Conti 勒索软件团伙联系了起来 —— 今年 5 月,该组织曾攻击瘫痪了哥斯达黎加的政府机构。

基于多项分析评估指标,TAG 认定 UAC-0098 的部分团伙、也是 Conti 网络犯罪组织的前成员,理由是他们将类似的技术运用到了针对乌克兰的目标上。

此前该组织有使用名为 IcedID 的网银木马来开展勒索软件攻击。但 Google 安全研究人员称,其现又转向了“既有政治动机、也受利益趋势”的攻击活动。

e02a1f1e11bd55b

钓鱼邮件示例(翻译自乌克兰语)

TAG 分析,该组织成员正利用其专业知识来充当初始访问代理 —— 黑客先是破坏了计算机系统,然后将访问权限出售给对特定目标感兴趣的其它攻击参与者。

在最近的一轮活动中,UAC-0098 向乌克兰酒店业的一些组织发去了网络钓鱼电子邮件,并且假借了网警的身份。

在另一个案例中,该组织还通过一家被黑的印度酒店的邮件地址,向意大利的一个人道主义非政府组织发起了钓鱼攻击。

其它活动还涉嫌冒充星链互联网卫星服务的代表,以引诱受害者安装所谓的必要联网软件。

9ffdeae41dd74ce

PowerShell 脚本示例

最后,这家与 Conti 有染的黑客组织,还曾于 5 月下旬的首次公开后不久,就利用了 Windows 操作系统中的 Follina 漏洞。

不过 TAG 表示,在本次和其它攻击活动中,他们尚不清楚 UAC-0098 在初始攻击得逞后还采取了哪些行动。

当然,此类黑客攻击也并不总是能笑到最后。比如在俄乌冲突爆发初期,高调宣布挺俄的该组织,就被某匿名个人泄露了它们内部一年多的聊天记录。


转自 CnBeta,原文链接:https://www.cnbeta.com/articles/tech/1313933.htm

封面来源于网络,如有侵权请联系删除