谷歌威脅分析小組(TAG)在周三的一篇文章中提到 —— 某個吸納了前 Conti 勒索軟體團夥的網絡犯罪組織,正針對烏克蘭政府和歐洲非政府組織發起攻擊。明面上,俄烏沖突已經持續了半年多。但在幕後,包括黑客攻擊和電子戰在内的網絡活動,也一直在暗中展開較量。
檔案分享網站上的 UAC-0098 有效載荷(圖自:Google TAG)
最新消息是,TAG 的 Pierre-Marc Bureau 指出 —— 追求利潤的網絡犯罪組織,也在該領域變得愈加活躍。
2022 年 4-8 月,TAG 一直在追蹤涉烏網絡行動。有線索表明它們與得到俄方支援的攻擊者密切相關。
其中之一,已被烏克蘭國家計算機緊急響應小組(CERT)指定為 UAC-0098 。
托管的被盜線索
與此同時,TAG 又将之與肆虐全球的 Conti 勒索軟體團夥聯系了起來 —— 今年 5 月,該組織曾攻擊癱瘓了哥斯達黎加的政府機構。
基于多項分析評估名額,TAG 認定 UAC-0098 的部分團夥、也是 Conti 網絡犯罪組織的前成員,理由是他們将類似的技術運用到了針對烏克蘭的目标上。
此前該組織有使用名為 IcedID 的網銀木馬來開展勒索軟體攻擊。但 Google 安全研究人員稱,其現又轉向了“既有政治動機、也受利益趨勢”的攻擊活動。
釣魚郵件示例(翻譯自烏克蘭語)
TAG 分析,該組織成員正利用其專業知識來充當初始通路代理 —— 黑客先是破壞了計算機系統,然後将通路權限出售給對特定目标感興趣的其它攻擊參與者。
在最近的一輪活動中,UAC-0098 向烏克蘭酒店業的一些組織發去了網絡釣魚電子郵件,并且假借了網警的身份。
在另一個案例中,該組織還通過一家被黑的印度酒店的郵件位址,向意大利的一個人道主義非政府組織發起了釣魚攻擊。
其它活動還涉嫌冒充星鍊網際網路衛星服務的代表,以引誘受害者安裝所謂的必要聯網軟體。
PowerShell 腳本示例
最後,這家與 Conti 有染的黑客組織,還曾于 5 月下旬的首次公開後不久,就利用了 Windows作業系統中的 Follina 漏洞。
不過 TAG 表示,在本次和其它攻擊活動中,他們尚不清楚 UAC-0098 在初始攻擊得逞後還采取了哪些行動。
當然,此類黑客攻擊也并不總是能笑到最後。比如在俄烏沖突爆發初期,高調宣布挺俄的該組織,就被某匿名個人洩露了它們内部一年多的聊天記錄。