谷歌威脅分析小組(TAG)在周三的一篇文章中提到——某個吸納前Conti勒索軟件團夥的網絡犯罪組織,正針對烏克蘭政府和歐洲非政府組織發起攻擊。明面上,俄烏沖突已經持續半年多。但在幕後,包括黑客攻擊和電子戰在內的網絡活動,也一直在暗中展開較量。
文件分享網站上的 UAC-0098 有效載荷(圖自:Google TAG)
最新消息是,TAG 的 Pierre-Marc Bureau 指出 —— 追求利潤的網絡犯罪組織,也在該領域變得愈加活躍。
2022 年 4-8 月,TAG 一直在追蹤涉烏網絡行動。有線索表明它們與得到俄方支持的攻擊者密切相關。
其中之一,已被烏克蘭國傢計算機緊急響應小組(CERT)指定為 UAC-0098 。
托管的被盜線索
與此同時,TAG 又將之與肆虐全球的 Conti 勒索軟件團夥聯系起來 —— 今年 5 月,該組織曾攻擊癱瘓哥斯達黎加的政府機構。
基於多項分析評估指標,TAG 認定 UAC-0098 的部分團夥、也是 Conti 網絡犯罪組織的前成員,理由是他們將類似的技術運用到針對烏克蘭的目標上。
此前該組織有使用名為 IcedID 的網銀木馬來開展勒索軟件攻擊。但 Google 安全研究人員稱,其現又轉向“既有政治動機、也受利益趨勢”的攻擊活動。
釣魚郵件示例(翻譯自烏克蘭語)
TAG 分析,該組織成員正利用其專業知識來充當初始訪問代理 —— 黑客先是破壞計算機系統,然後將訪問權限出售給對特定目標感興趣的其它攻擊參與者。
在最近的一輪活動中,UAC-0098 向烏克蘭酒店業的一些組織發去網絡釣魚電子郵件,並且假借網警的身份。
在另一個案例中,該組織還通過一傢被黑的印度酒店的郵件地址,向意大利的一個人道主義非政府組織發起釣魚攻擊。
其它活動還涉嫌冒充星鏈互聯網衛星服務的代表,以引誘受害者安裝所謂的必要聯網軟件。
PowerShell 腳本示例
最後,這傢與 Conti 有染的黑客組織,還曾於 5 月下旬的首次公開後不久,就利用 Windows 操作系統中的 Follina 漏洞。
不過 TAG 表示,在本次和其它攻擊活動中,他們尚不清楚 UAC-0098 在初始攻擊得逞後還采取哪些行動。
當然,此類黑客攻擊也並不總是能笑到最後。比如在俄烏沖突爆發初期,高調宣佈挺俄的該組織,就被某匿名個人泄露它們內部一年多的聊天記錄。