Kai kurie „Conti” išpirkos reikalaujančių programų gaujos nariai dalyvavo finansiškai motyvuotose atakose, nukreiptose prieš Ukrainą nuo 2022 m. balandžio iki rugpjūčio.
„Google” grėsmių analizės grupės (TAG) tyrėjai pranešė, kad kai kurie buvę „Conti” kibernetinių nusikaltimų grupės nariai dalyvavo penkiose skirtingose kampanijose, nukreiptose prieš Ukrainą nuo 2022 m. balandžio iki rugpjūčio. Veikla sutampa su operacijomis, priskiriamomis grupei, kurią CERT-UA stebi kaip UAC-0098 [1, 2, 3].
UAC-0098 istoriškai pristatė IcedID trojos arklys, kad būtų pasiektas pradinis kompromisas tiksliniams tinklams prieš diegiant žmogaus valdomą išpirkos reikalaujančią programinę įrangą.
„Užpuolikas neseniai nukreipė dėmesį į nusitaikymą į Ukrainos organizacijas, Ukrainos vyriausybę ir Europos humanitarines bei ne pelno organizacijas. TAG vertina UAC-0098 veikė kaip pradinis prieigos brokeris įvairioms išpirkos reikalaujančių programų grupėms, įskaitant „Quantum” ir „Conti”, Rusijos kibernetinių nusikaltimų gaują, žinomą kaip FIN12 / WIZARD SPIDER.” rašoma TAG ataskaitoje.
TAG pradėjo stebėti UAC-0098 veiklą po to, kai 2022 m. balandžio pabaigoje aptiko sukčiavimo kampaniją, teikiančią „AnchorMail” (vadinamas „LackeyBuilder”). Užpakalines duris sukūrė „Conti” grupė, kuri įdiegė ją kaip „TrickBot” modulį.
„Kampanija išsiskyrė, nes atrodė, kad ji yra ir finansiškai, ir politiškai motyvuota. Tai taip pat atrodė eksperimentinis: užuot pajungę „AnchorMail” tiesiogiai, jis naudojo „LackeyBuilder” ir paketinius scenarijus, kad sukurtų „AnchorMail” eigoje”. „UAC-0098 veikla buvo identifikuota kitoje el. pašto kampanijoje, pristatančioje „IcedID” ir „Cobalt Strike”. Balandžio 13 d. ukrainos organizacijoms kaip priedai buvo išsiųsti mažiausiai trys „Excel” failai.
2022 m. gegužės 11 d. UAC-0098 pradėjo dar vieną kampaniją, skirtą svetingumo pramonės organizacijoms. Kenkėjiškas el. laiškas apsimetė Ukrainos nacionaline kibernetine policija, o turinys buvo sukurtas siekiant apgauti gavėją spustelėti įterptą nuorodą.
2022 m. birželį grupė pradėjo dar vieną kampaniją, kuri rėmėsi Follina (CVE-2022-30190) išnaudojimu, kad įdiegtų „CrescentImp” ir „Cobalt Strike Beacons” tikslinėse sistemose žiniasklaidos ir kritinės infrastruktūros pramonės šakose.
„UAC-0098 veikla yra reprezentatyvūs pavyzdžiai, kaip nyksta ribos tarp finansiškai motyvuotų ir vyriausybės remiamų grupių Rytų Europoje, iliustruojantys tendenciją, kai grėsmės veikėjai keičia savo taikymą, kad atitiktų regioninius geopolitinius interesus.” daro išvadą TAG. „Po 2022 m. balandžio mėnesio stebėtoje veikloje grupės taikymasis į beprotiškai skyrėsi nuo Europos NVO stebėta mažiau tikslinių išpuolių prieš Ukrainos vyriausybės subjektus, organizacijos ir asmenys”.
