اوکراین مورد حمله ابزارهای هک قرار گرفته است که از گروه جنایات سایبری Conti تغییر کاربری داده است

یک محقق گوگل در روز چهارشنبه گزارش داد هکرهای با انگیزه مالی که با یک گروه جنایت سایبری بدنام Conti ارتباط دارند، منابع خود را برای استفاده علیه اهداف در اوکراین تغییر کاربری می دهند، که نشان می دهد فعالیت های عامل تهدید با تهاجم کرملین به کشور همسایه خود هماهنگ است.

CERT UA در گذشته گزارش داده است که از آوریل، گروهی از محققان که تحت عنوان UAC-0098 ردیابی می‌شوند، مجموعه‌ای از حملات را انجام داده‌اند که هتل‌ها، سازمان‌های غیردولتی و سایر اهداف را در اوکراین هدف قرار داده‌اند. پیر-مارک بورو، یک محقق در تحلیل تهدید گوگل گفت که برخی از اعضای UAC-0098 اعضای سابق Conti هستند که اکنون از تکنیک های پیچیده خود برای هدف قرار دادن اوکراین استفاده می کنند، زیرا این کشور همچنان به جلوگیری از تهاجم روسیه ادامه می دهد.

یک تغییر بی سابقه

این دفتر نوشت: مهاجم اخیراً تمرکز خود را به هدف قرار دادن سازمان‌های اوکراینی، دولت اوکراین و سازمان‌های بشردوستانه و غیرانتفاعی اروپایی معطوف کرده است. “TAG ارزیابی می کند که UAC-0098 به عنوان یک واسطه دسترسی اولیه برای گروه های باج افزار مختلف از جمله Quantum و Conti، یک باند جرایم سایبری روسی معروف به FIN12 / WIZARD SPIDER عمل می کند.”

او نوشت که «فعالیت‌های UAC-0098 نمونه‌هایی از محو کردن خطوط بین گروه‌های دارای انگیزه مالی و گروه‌های تحت حمایت دولت در اروپای شرقی است، که نشان‌دهنده روندی است که بازیگران تهدید، هدف خود را تغییر می‌دهند تا با منافع ژئوپلیتیک منطقه‌ای هماهنگ شوند.»

در ژوئن، محققان IBM Security X-Force تقریباً همین موضوع را گزارش کردند. این نشان داد که گروه Trickbot مستقر در روسیه – که به گفته محققان AdvIntel، در اوایل سال جاری به طور موثر توسط Conti تصرف شده بود – از زمان تهاجم روسیه به طور سیستماتیک به اوکراین حمله می کرد – تغییری بی سابقه زیرا این گروه قبلا اوکراین را هدف قرار نداده بود. “

IBM Security X-Force “کمپین‌های Conti علیه اوکراین به دلیل تفاوت این فعالیت با سابقه تاریخی و این واقعیت که این کمپین‌ها به طور خاص با هدف اوکراین با برخی از محموله‌هایی که نشان دهنده درجه بالاتری از انتخاب هدف است ظاهر شد، قابل توجه است. محققان در ماه جولای نوشتند.

گزارش‌های Google TAG و IBM Security X-Force به مجموعه‌ای از حوادث اشاره می‌کنند. مواردی که توسط TAG فهرست شده اند عبارتند از:

• یک کمپین فیشینگ ایمیل در اواخر آوریل AnchorMail را ارائه کرد (که به آن LackeyBuilder گفته می شود). این کمپین از فریب هایی با موضوعاتی مانند «پروژه «شهروند فعال» و «تغییر_پرونده،_رزرو» استفاده کرد.
• یک کمپین فیشینگ یک ماه بعد سازمان‌های صنعت مهمان‌نوازی را هدف قرار داد. این ایمیل‌ها جعل هویت پلیس ملی سایبری اوکراین و تلاش برای آلوده کردن اهداف به بدافزار IcedID بودند.
• یک کمپین فیشینگ جداگانه صنعت هتلداری و یک سازمان غیردولتی واقع در ایتالیا را هدف قرار داد. این کشور از یک حساب کاربری هتل در هند برای فریب دادن اهداف خود استفاده کرد.
• یک کمپین فیشینگ که جعل هویت ایلان ماسک و سرمایه‌گذاری ماهواره‌ای او StarLink در تلاش برای به دست آوردن اهدافی در بخش‌های فناوری، خرده‌فروشی و دولتی اوکراین برای نصب بدافزار است.
• کمپینی با بیش از 10000 ایمیل هرزنامه جعل هویت خدمات مالیاتی دولتی اوکراین بود. این ایمیل ها دارای یک فایل ZIP پیوست شده بودند که از CVE-2022-30190، یک آسیب پذیری حیاتی به نام Follina، سوء استفاده می کرد. TAG موفق شد کمپین را مختل کند.

یافته‌های Google TAG و IBM Security X-Force با اسنادی که اوایل سال جاری به بیرون درز کرده بود، نشان می‌داد که برخی از اعضای Conti به کرملین پیوند دارند.