Rusya bağlantılı Conti fidye yazılımı çetesinin eski üyeleri, son dört aylık bir süre içinde meydana gelen bir dizi kimlik avı kampanyasında Ukrayna’yı hedefleyen bir ilk erişim komisyoncusu (IAB) ile katılmak için taktiklerini yeniden tasarlıyor.
Google Tehdit Analizi Grubu (TAG), araştırmacıların artık kötü şöhretli fidye yazılımı aktörünün eski üyelerini içerdiğini düşündüğü UAC-0098 olarak tanımladığı bir grubun son etkinliklerini izliyor.
TAG’ın Pierre-Marc Bürosu olarak bir blog yazısında yazdı Çarşamba günü yayınlandı, tarihsel olarak IcedID bankacılık Truva Atı’nı insan tarafından işletilen fidye yazılımı saldırılarının başlangıcı olarak sunmakla tanınan UAC-0098, son aylarda özellikle Ukrayna kuruluşlarına, Ukrayna hükümetine ve Ukrayna yanlısı Avrupa insani yardım ve kar amacı gütmeyen kuruluşlara karşı hareket etti.
Faaliyetin amacı, Quantum ve Conti (diğer adıyla FIN12 veya Wizard Spider) dahil olmak üzere çeşitli fidye yazılımı gruplarına bu tür hedeflerin ağlarına kalıcı erişim satmaktı.
CISM ve Contrast Security siber strateji kıdemli başkan yardımcısı Tom Kellermann, UAC-0098’in son kampanyalarının, grubun Conti ile olan ilişkisini ve şaşırtıcı olmayan bir şekilde Rusya’nın Ukrayna’ya karşı askeri eylemlerine verdiği desteği yansıtan, siyasi amaçlı eylemlere odaklandığını gösterdiğini belirtiyor.
Dark Reading’e gönderdiği bir e-postada, “Conti’nin son savaşa katılımı, yalnızca Rusya’ya vatanseverliklerini değil, rejime saygı gösterme ihtiyacını da gösteriyor” dedi.
Bağlantının Yapılması
Google TAG, daha önce Conti ile tanımlanan araçları ve taktikleri kullanarak Nisan ile Ağustos arasında gerçekleşen beş ayrı ve özel kimlik avı kampanyası keşfetti. Tehdit aktörleri, fidye yazılımı gruplarına daha fazla tehdit etkinliği için erişim sağlamak için tipik kimlik avı taktiklerini kullanarak kurbanları kötü amaçlı yazılım indirmeye ikna etmek için bilinen birkaç varlığı taklit etti.
UAC-0098’i Conti’ye bağlayan ilk kampanya, araştırmacıların “LackeyBuilder” olarak da anılan AnchorMail’i dağıtan saldırıları tespit ettikleri Nisan ayı sonlarında TAG’ın dikkatini çekti. Conti tarafından geliştirilen ve daha önce bir Trickbot modülü olarak kurulan AnchorMail, komut ve kontrol (C2) iletişimi için basit posta aktarım protokolünü (SMTPS) kullanan Anchor arka kapısının bir sürümüdür.
Büro, gönderide, “Kampanya öne çıktı çünkü hem mali hem de siyasi olarak motive edilmiş gibi görünüyordu.” “Ayrıca deneysel görünüyordu: AnchorMail’i doğrudan bırakmak yerine, AnchorMail’i anında oluşturmak için LackeyBuilder ve toplu komut dosyalarını kullandı.”
Araştırmacılar ayrıca, IcedID ve Cobalt Strike’ı Ukraynalı kuruluşlara ek olarak sunmak için ayın başlarında gerçekleşen başka bir e-posta kampanyasında UAC-0098 etkinliğini belirlediler. Grubun Conti bağlantılı faaliyetinin bu özel ilk aşaması, Nisan ortasından Haziran ortasına kadar gerçekleşti ve öncelikle Ukrayna’daki otelleri hedef aldı.
Diğer Kampanyalar
Başka bir kimlik avı saldırısı, 11 Mayıs’ta UAC-0098’in konaklama endüstrisindeki Ukraynalı kuruluşları, Ukrayna Ulusal Siber Polisi kimliğine bürünen kimlik avı e-postalarıyla hedef almasıyla gerçekleşti. E-postalar, hedefleri işletim sistemlerini güncellemek için kullanmaya teşvik eden bir indirme bağlantısı içeriyordu; bağlantı, IcedID’yi almak ve yürütmek için bir PowerShell betiği oluşturdu.
Araştırmacılar, 17 Mayıs’ta UAC-0098’in Hindistan’daki bir otelin güvenliği ihlal edilmiş bir hesabını kullanarak yeniden kimlik avı e-postalarını Ukrayna konaklama kuruluşlarına gönderdiklerini söyledi. E-postalar, IcedID’nin bir türevini indiren kötü amaçlı bir .XLL dosyası içeren ekli bir .ZIP arşivi içeriyordu.
O gün, güvenliği ihlal edilmiş aynı hesap İtalya’daki insani yardım amaçlı sivil toplum kuruluşlarını (STK’lar) hedef almak için de kullanıldı ve IcedID’yi anonim dosya paylaşım hizmeti dropfiles aracılığıyla bir .MSI dosyası olarak teslim etti.[.]ben.
İki gün sonra, dördüncü ayrı bir kampanyada, UAC-0098, Elon Musk ve StarLink uydu hizmetinin temsilcilerini şu adresi kullanarak taklit etti “[email protected][.]info”, StarLink uydularını kullanarak İnternet’e bağlanmak için gereken yazılımı sağladığını iddia eden kimlik avı e-postaları göndermek için.[.]bilgi.”
Araştırmacılar, dört gün sonra benzer bir saldırının, Microsoft güncellemesine benzeyen bir dosya adıyla aynı IcedID ikili dosyasını kullanan teknoloji, perakende ve devlet sektörlerinde faaliyet gösteren daha geniş bir Ukrayna kuruluşunu hedef aldığını söyledi.
UAC-0098 tarafından TAG tarafından ortaya çıkarılan son kimlik avı kampanyası 24 Mayıs’ta gerçekleşti ve Ukrayna Basın Akademisi’ni kötü niyetli bir Excel belgesine Dropbox bağlantısı içeren bir kimlik avı e-postasıyla hedef aldı. Araştırmacılar, belgenin daha önce 17 Mayıs’ta İtalyan STK’larına karşı yürütülen kampanyada IcedID yüklerini teslim etmek için kullanılan bir IP adresinden doğrudan bir Kobalt Saldırısı dosyası aldığını söyledi.
Conti’nin Ünlü Geçmişi
2019’un sonundan beri aktif olan bir fidye yazılımı grubu olan Conti, Mayıs ayında resmi bir varlık olarak faaliyetlerini durdurdu. Ancak üyeleri, diğer fidye yazılımı gruplarının bir parçası olarak veya veri hırsızlığına, ilk ağ erişimine ve diğer suç girişimlerine odaklanan bağımsız yükleniciler olarak her zamanki gibi aktif kalarak siber suçlu mirasını sürdürdüler.
En parlak döneminde Conti, dünyanın en tehlikeli ve acımasız fidye yazılımı gruplarından biri olarak biliniyordu; son eylemlerinden biri, aslında, Kosta Rika hükümetini o kadar sakat bıraktı ki, ülke bir olağanüstü hal durumuna zorlandı.
Rusya’ya bağlı olmasına rağmen, Conti daha önce Rusya’nın Ukrayna’yı işgaline verdiği destekte terslik olmuştu, başlangıçta “devam eden savaşı” kınayan bir geri çekilmeden önce, çatışmanın başlarında veri sızıntısı sitesine destek göstermişti. Grup daha sonra kısa bir süre sonra yaptığı açıklamada, Batı’nın Rusya’ya veya Rusça konuşan ülkelere karşı siber saldırılar başlatması durumunda “misilleme önlemleri” alacağını belirtti.
UAC-0098 ile yapılan son uyum, şimdi en azından bazı eski Conti üyelerinin Rusya’yı bir kez daha desteklediğini gösteriyor. TAG Bürosu, aynı zamanda, Doğu Avrupa’daki finansal olarak motive olmuş ve hükümet destekli gruplar arasındaki çizgilerin bulanıklaştığını ve “tehdit aktörlerinin bölgesel jeopolitik çıkarlarla uyum sağlamak için hedeflerini değiştirme eğilimini gösterdiğini” belirtti.
Özellikle Ukrayna aleyhine dönen bir diğer grup, IBM araştırmacılarının Temmuz ayında önceki üç aylık dönemde sistematik olarak Ukrayna hedeflerine saldırdığını söylediği Trickbot. Trickbot yıllar içinde bir bankacılık Truva Atı’ndan ilk erişim komisyoncusu ve Conti ve Ryuk fidye yazılımları ve Emotet Truva Atı dahil olmak üzere çeşitli fidye yazılımı ve kötü amaçlı yazılım araçları için bir distribütöre dönüştü.