Google, şu anda UAC-0098 olarak izlenen bir tehdit grubunun parçası olan bazı eski Conti fidye yazılımı çete üyelerinin Ukraynalı kuruluşları ve Avrupa sivil toplum kuruluşlarını (STK’lar) hedef aldığını söylüyor.
UAC-0098, fidye yazılımı gruplarına kurumsal ağlardaki güvenliği ihlal edilmiş sistemlere erişim sağlamak için IcedID bankacılık truva atını kullanmasıyla bilinen bir ilk erişim aracısıdır.
Google kullanıcıları için devlet destekli saldırılara karşı bir savunma gücü görevi gören özel bir güvenlik uzmanları ekibi olan şirketin Tehdit Analizi Grubu (TAG), Conti bağlantılı AnchorMail’i arka kapıya iten bir kimlik avı kampanyasını tespit ettikten sonra Nisan ayında bu tehdit grubunu izlemeye başladı.
“UAC-0098 ile ilk karşılaşmada, ‘lackeyBuilder’ ilk kez gözlemlendi. Bu, Conti grupları tarafından kullanılan özel arka kapılardan biri olan AnchorMail için daha önce açıklanmayan bir oluşturucudur,” Google TAG dedi.
“O zamandan beri, oyuncu, ilk erişimi elde etmek amacıyla geleneksel olarak siber suç aktörleri tarafından kullanılan araçları ve hizmetleri sürekli olarak kullandı: IcedID truva atı, EtterSilent kötü amaçlı belge oluşturucu ve ‘Çalıntı Görüntü Kanıtı’ sosyal mühendislik kötü amaçlı yazılım dağıtım hizmeti.”
Bu grubun saldırıları, Ukrayna örgütlerini (otel zincirleri gibi) hedef alırken ve Ulusal Siber Polis kimliğine bürünürken taktiklerinde, tekniklerinde ve prosedürlerinde (TTP’ler), aletlerinde ve cazibelerinde sık sık değişikliklerle Nisan ortasından Haziran ortasına kadar gözlemlendi. Ukrayna veya Elon Musk ve StarLink temsilcileri.
Sonraki kampanyalarda, UAC-0098’in Ukraynalı kuruluşları ve Avrupa STK’larını hedef alan kimlik avı saldırılarında IcedID ve Cobalt Strike kötü amaçlı yükleri teslim ettiği görüldü.
Conti siber suç grubuna bağlantılar
Google TAG, ilişkilendirilmesinin UAC-0098, Trickbot ve Conti siber suç grubu arasındaki çoklu çakışmalara dayandığını söylüyor.
Google TAG, “TAG, birden fazla göstergeye dayanarak, UAC-0098’in bazı üyelerinin Conti siber suç grubunun eski üyeleri olduğunu ve tekniklerini Ukrayna’yı hedef alacak şekilde yeniden tasarladığını değerlendiriyor” dedi.
“TAG, UAC-0098’in FIN12 / WIZARD SPIDER olarak bilinen bir Rus siber suç çetesi olan Quantum ve Conti de dahil olmak üzere çeşitli fidye yazılımı grupları için bir ilk erişim aracısı olarak hareket ettiğini değerlendiriyor.
“UAC-0098 faaliyetleri, Doğu Avrupa’daki finansal olarak motive edilmiş ve hükümet destekli gruplar arasındaki bulanık çizgilerin temsili örnekleridir ve tehdit aktörlerinin bölgesel jeopolitik çıkarlarla uyum sağlamak için hedeflerini değiştirme eğilimini göstermektedir.”
Tehdit grubunun bugün Google tarafından tespit edilen ve açıklanan faaliyetleri, daha önceki raporlarla da uyumludur. IBM Güvenlik X-Force ve CERT-UAUkraynalı kuruluşlara ve devlet kurumlarına yönelik saldırıları da TrickBot ve Conti siber suç çeteleriyle ilişkilendirdi.
Conti hala buralarda
Rusya merkezli Conti çetesi, 2020 yılında bir fidye yazılımı operasyonu başlattı, Ryuk fidye yazılımı grubunun yerini alıyor.
Zamanla, çete bir siber suç örgütüne dönüştü. gelişmeyi devralmak TrickBot ve BazarBackdoor dahil olmak üzere birden fazla kötü amaçlı yazılım işlemi.
Ukraynalı bir güvenlik araştırmacısı sızdırıldı 170.000 dahili sohbet görüşmesi ile birlikte çeteye mensup Conti fidye yazılımı şifreleyicisi için kaynak koduConti’nin Ukrayna’yı işgal etmesinin ardından Rusya’nın yanında yer almasından sonra.
Grup o zamandan beri ‘Conti’ markasını kapatmış olsa da, siber suç sendikası daha küçük hücrelere bölündükten ve diğer fidye yazılımı veya siber suç operasyonlarına sızdıktan veya devraldıktan sonra çalışmaya devam ediyor.
Conti üyeleri tarafından sızan bazı fidye yazılımı çeteleri şunları içerir: Kara kediHive, AvosLocker, Hello Kitty ve yakın zamanda yeniden canlanan Kuantum operasyon.
Diğer Conti üyeleri artık verileri şifrelemeyen kendi veri gasp işlemlerini yürütüyorlar. siyahbayt, Karakurtve Bazarcall kolektifi.