Bir Google araştırmacısının Çarşamba günü bildirdiğine göre, kötü şöhretli bir Conti siber suç grubuyla bağları olan mali güdümlü bilgisayar korsanları kaynaklarını Ukrayna’daki hedeflere karşı kullanmak üzere yeniden kullanıyorlar ve bu, tehdit aktörünün faaliyetlerinin Kremlin’in komşu ülkeyi işgaliyle yakından uyumlu olduğunu gösteriyor.
CERT UA’nın geçmişte bildirdiğine göre, Nisan ayından bu yana, UAC-0098 olarak izlenen bir grup araştırmacı, Ukrayna’daki otelleri, sivil toplum kuruluşlarını ve diğer hedefleri hedef alan bir dizi saldırı gerçekleştirdi. Google’ın Tehdit Analizi araştırmacısı Pierre-Marc Bürosu, UAC-0098’in üyelerinden bazılarının, Rusya’nın işgalini önlemeye devam eden Ukrayna’yı hedeflemek için gelişmiş tekniklerini kullanan eski Conti üyeleri olduğunu söyledi.
Eşi görülmemiş bir değişim
Bureau, “Saldırgan son zamanlarda odağını Ukrayna kuruluşlarını, Ukrayna hükümetini ve Avrupa insani ve kar amacı gütmeyen kuruluşları hedef almaya kaydırdı” dedi. “TAG, UAC-0098’in FIN12 / WIZARD SPIDER olarak bilinen bir Rus siber suç çetesi olan Quantum ve Conti de dahil olmak üzere çeşitli fidye yazılımı grupları için bir ilk erişim aracısı olarak hareket ettiğini değerlendiriyor.”
“UAC-0098 faaliyetleri, Doğu Avrupa’daki finansal olarak motive edilmiş ve hükümet destekli gruplar arasındaki bulanık çizgilerin temsili örnekleridir ve tehdit aktörlerinin bölgesel jeopolitik çıkarlarla uyum sağlamak için hedeflerini değiştirme eğilimini göstermektedir.”
Haziran ayında, IBM Security X-Force araştırmacıları hemen hemen aynı şeyi bildirdiler. AdvIntel’deki araştırmacılara göre, bu yılın başlarında Conti tarafından etkin bir şekilde devralınan Rusya merkezli Trickbot grubunun “Rus işgalinden bu yana Ukrayna’ya sistematik olarak saldırdığını – grubun daha önce Ukrayna’yı hedef almadığı için benzeri görülmemiş bir değişim olduğunu tespit etti. “
IBM Security X-Force, “Ukrayna’ya karşı yürütülen kampanyalar, bu etkinliğin tarihsel emsallerden ne ölçüde farklı olduğu ve bu kampanyaların özellikle daha yüksek derecede hedef seçimi öneren bazı yüklerle Ukrayna’yı hedef alması nedeniyle dikkate değerdir”. Araştırmacılar Temmuz ayında yazdı.
Google TAG ve IBM Security X-Force’dan gelen raporlar, bir dizi olaydan bahseder. TAG tarafından listelenenler şunları içerir:
- Nisan ayı sonlarında bir e-posta kimlik avı kampanyası AnchorMail’i (“LackeyBuilder” olarak anılır) teslim etti. Kampanya, “Proje” Aktif vatandaş” ve “File_change,_booking” gibi konularda yemler kullandı.
- Bir ay sonra bir kimlik avı kampanyası, konaklama endüstrisindeki kuruluşları hedef aldı. E-postalar, Ukrayna Ulusal Siber Polisi kimliğine büründü ve IcedID kötü amaçlı yazılımıyla hedeflere bulaşmaya çalıştı.
- Ayrı bir kimlik avı kampanyası, konaklama endüstrisini ve İtalya’da yerleşik bir STK’yı hedef aldı. Hedeflerini kandırmak için Hindistan’da güvenliği ihlal edilmiş bir otel hesabını kullandı.
- Ukrayna’nın teknoloji, perakende ve devlet sektörlerinde kötü amaçlı yazılım yüklemek için hedefler elde etmek amacıyla Elon Musk ve uydu girişimi StarLink’in kimliğine bürünen bir kimlik avı kampanyası.
- 10.000’den fazla spam e-posta içeren bir kampanya, Ukrayna Devlet Vergi Dairesi’nin kimliğine büründü. E-postalarda, Follina olarak bilinen kritik bir güvenlik açığı olan CVE-2022-30190’dan yararlanan ekli bir ZIP dosyası vardı. TAG kampanyayı bozmayı başardı.
Google TAG ve IBM Security X-Force’un bulguları, bu yılın başlarında sızdırılan ve bazı Conti üyelerinin Kremlin’le bağlantıları olduğunu gösteren belgeleri takip ediyor.