Attaques À Motivation Financière

D’anciens membres du cartel de la cybercriminalité Conti ont été impliqués dans cinq campagnes différentes ciblant l’Ukraine d’avril à août 2022.

Les conclusions, qui proviennent du Threat Analysis Group (TAG) de Google, s’appuient sur un rapport antérieur publié en juillet 2022, détaillant la cyberactivité continue visant la nation d’Europe de l’Est au milieu de la guerre russo-ukrainienne en cours.

« UAC-0098 est un acteur menaçant qui a historiquement livré le cheval de Troie bancaire IcedID, conduisant à des attaques de rançongiciels opérés par l’homme », a déclaré Pierre-Marc Bureau, chercheur au TAG. a dit dans un rapport partagé avec The Hacker News.

La Cyber-Sécurité

« L’attaquant s’est récemment concentré sur les organisations ukrainiennes, le gouvernement ukrainien et les organisations humanitaires et à but non lucratif européennes. »

On pense que l’UAC-0098 a fonctionné comme un courtier d’accès initial pour les groupes de rançongiciels tels que Quantum et Conti (alias FIN12, Gold Ulrick ou Wizard Spiker), dont le premier a été repris par Conti en avril 2022.

Publicité
Attaques À Motivation Financière

L’une des principales campagnes entreprises par le groupe en juin 2022 impliquait l’abus de la vulnérabilité Follina (CVE-2022-30190) dans le système d’exploitation Windows pour déployer CrescentImp et Cobalt Strike Beacons sur des hôtes ciblés dans les médias et les infrastructures critiques.

Mais cela semble faire partie d’une série d’attaques qui ont commencé fin avril 2022, lorsque le groupe a mené une campagne de phishing par e-mail pour fournir AnchorMail (alias LackeyBuilder), une variante de l’implant AnchorDNS du groupe TrickBot qui utilise SMTP pour la commande. -et-contrôle.

Des campagnes de phishing ultérieures distribuant IcedID et Cobalt Strike ont été dirigées contre des organisations ukrainiennes, frappant à plusieurs reprises le secteur de l’hôtellerie, dont certaines se sont fait passer pour la National Cyber ​​Police d’Ukraine ou des représentants d’Elon Musk et de StarLink.

Vers la mi-mai, l’UAC-0098 aurait également exploité le compte compromis d’un hôtel en Inde pour envoyer des pièces jointes contenant des logiciels malveillants à des organisations travaillant dans l’industrie hôtelière en Ukraine, avant de s’étendre aux ONG humanitaires en Italie.

La Cyber-Sécurité

Des attaques similaires ont également été observées contre des entités des secteurs de la technologie, de la vente au détail et du gouvernement, le binaire IcedID étant dissimulé en tant que mise à jour Microsoft pour déclencher l’infection. Les étapes de post-exploitation réalisées suite à une compromission réussie n’ont pas été identifiées.

UAC-0098 est loin d’être le seul groupe de piratage affilié à Conti à avoir jeté son dévolu sur l’Ukraine depuis le début de la guerre. En juillet 2022, IBM Security X-Force a révélé que le gang TrickBot avait orchestré six campagnes différentes pour cibler systématiquement le pays avec une pléthore de logiciels malveillants.

« Les activités de l’UAC-0098 sont des exemples représentatifs de lignes floues entre des groupes motivés financièrement et soutenus par le gouvernement en Europe de l’Est, illustrant une tendance des acteurs de la menace à modifier leur ciblage pour s’aligner sur les intérêts géopolitiques régionaux », a déclaré Bureau.

« Le groupe démontre un vif intérêt à violer les entreprises opérant dans l’industrie hôtelière en Ukraine, allant jusqu’à lancer plusieurs campagnes distinctes contre les mêmes chaînes hôtelières. »


Rate this post
Publicité
Article précédentQNAP combat une autre campagne de rançongiciel DeadBolt et publie un correctif pour les appareils NAS
Article suivantExamen du SSD Silicon Power UD90 1 To M.2 NVMe
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici