Exmiembros del cártel de delitos cibernéticos Conti han estado implicados en cinco campañas diferentes dirigidas a Ucrania desde abril hasta agosto de 2022.
Los hallazgos, que provienen del Threat Analysis Group (TAG) de Google, se basan en un informe anterior publicado en julio de 2022, que detalla la continua actividad cibernética dirigida a la nación de Europa del Este en medio de la guerra ruso-ucraniana en curso.
«UAC-0098 es un actor de amenazas que históricamente entregó el troyano bancario IcedID, lo que provocó ataques de ransomware operados por humanos», dijo el investigador de TAG, Pierre-Marc Bureau. dijo en un informe compartido con The Hacker News.
«El atacante ha cambiado recientemente su enfoque para atacar a las organizaciones ucranianas, el gobierno ucraniano y las organizaciones humanitarias y sin fines de lucro europeas».
Se cree que UAC-0098 funcionó como intermediario de acceso inicial para grupos de ransomware como Quantum y Conti (también conocido como FIN12, Gold Ulrick o Wizard Spiker), el primero de los cuales fue subsumido por Conti en abril de 2022.
Una de las campañas destacadas emprendidas por el grupo en junio de 2022 implicó el abuso de la vulnerabilidad Follina (CVE-2022-30190) en el sistema operativo Windows para implementar CrescentImp y Cobalt Strike Beacons en hosts específicos en medios y entidades de infraestructura crítica.
Pero esto parece ser parte de una serie de ataques que comenzaron a fines de abril de 2022, cuando el grupo llevó a cabo una campaña de phishing por correo electrónico para entregar AnchorMail (también conocido como LackeyBuilder), una variante del implante AnchorDNS del grupo TrickBot que usa SMTP para el comando. -y control.
Las campañas de phishing posteriores que distribuyeron IcedID y Cobalt Strike se dirigieron contra organizaciones ucranianas, golpeando repetidamente al sector hotelero, algunas de las cuales se hicieron pasar por la Policía Cibernética Nacional de Ucrania o representantes de Elon Musk y StarLink.
Alrededor de mediados de mayo, también se dice que UAC-0098 aprovechó una cuenta comprometida de un hotel en India para enviar archivos adjuntos con malware a organizaciones que trabajan en la industria hotelera en Ucrania, antes de expandirse a ONG humanitarias en Italia.
También se han observado ataques similares contra entidades en los sectores de tecnología, comercio minorista y gobierno, con el binario IcedID oculto como una actualización de Microsoft para desencadenar la infección. No se han identificado los pasos posteriores a la explotación llevados a cabo después de un compromiso exitoso.
UAC-0098 está lejos de ser el único grupo de piratería afiliado a Conti que ha puesto su mira en Ucrania desde el comienzo de la guerra. En julio de 2022, IBM Security X-Force reveló que la pandilla TrickBot orquestó seis campañas diferentes para atacar sistemáticamente al país con una gran cantidad de malware.
«Las actividades de UAC-0098 son ejemplos representativos de líneas borrosas entre grupos respaldados por gobiernos y motivados financieramente en Europa del Este, lo que ilustra una tendencia de los actores de amenazas que cambian su objetivo para alinearse con los intereses geopolíticos regionales», dijo Bureau.
«El grupo demuestra un gran interés en violar las empresas que operan en la industria hotelera de Ucrania, llegando incluso a lanzar múltiples campañas distintas contra las mismas cadenas hoteleras».