可用-Google谷歌

谷歌公布最近几个月,乌克兰遭到网络攻击的详细情况

  • 浏览次数 5211
  • 喜欢 0
  • 评分 12345

在过去的五个月里,谷歌一直在追踪一个名为 UAC-0098 的出于经济动机的威胁行为者,该行为者一直在针对乌克兰和欧洲的多个实体进行多次恶意活动。

该组织的活动与俄罗斯政府支持的攻击者的活动密切相关,谷歌的威胁分析小组 (TAG) 认为,至少 UAC-0098 的一些成员是 Conti 勒索软件团伙的前成员。

UAC-0098 因在攻击中使用IcedID 银行木马而广为人知,导致部署人为操作的勒索软件,充当 Quantum 和 Conti 等勒索软件组的访问代理。最近,威胁行为者的目标主要是乌克兰政府,该国的各种组织以及欧洲和一些非营利组织。

4月下旬,UAC-0098 发起了一场电子邮件网络钓鱼活动,以传递 AnchorMail,这是由 Conti 集团开发的 Anchor 后门的变体,之前安装为TrickBot模块。

谷歌表示,这些攻击似乎具有经济和政治动机,而且之所以引人注目,是因为 LackeyBuilder 和批处理脚本被用于动态构建 AnchorMail 。

从4月中旬到6月中旬,该组织使用 IcedID 和Cobalt Strike等恶意软件发起了针对乌克兰酒店业组织的电子邮件活动。

在5月的一次活动中,攻击者冒充乌克兰国家网络警察发送网络钓鱼电子邮件,而在另一次活动中,他们使用了印度一家酒店的被盗账户。同一个电子邮件帐户也被用于针对意大利的人道主义非政府组织,同样使用 IcedID。

同样在5月,UAC-0098冒充Elon Musk 和 StarLink 的代表发送网络钓鱼电子邮件。其中一些电子邮件针对政府、零售和技术部门的各种乌克兰组织。

5月下旬,攻击者以网络钓鱼电子邮件为目标,攻击乌克兰新闻学院 (AUP),该电子邮件链接到 Dropbox 上的恶意文档,该文档将获取 Cobalt Strike dll。酒店业的组织也成为这些电子邮件的目标。

6月,UAC-0098 被发现利用 CVE-2022-30190,这是一个Windows 漏洞,也称为 Follina。谷歌表示,它通过 10,000 多封冒充乌克兰国家税务局的电子邮件破坏了垃圾邮件活动,这些电子邮件获取了 Cobalt Strike 信标。

谷歌指出:“UAC-0098 活动是东欧经济动机和政府支持的团体之间界限模糊的代表性例子,说明了威胁行为者改变目标以符合地区地缘政治利益的趋势。”


转自 E安全,原文链接:https://mp.weixin.qq.com/s/TN7Zuem8f3iHM_oi9EGnJw

封面来源于网络,如有侵权请联系删除