谷歌：前Conti网络犯罪团伙成员对乌克兰组织和欧洲非政府组织进行攻击-VPS资讯_海外云服务器资讯_海外服务器资讯

谷歌表示，一些前 Conti 勒索软件团伙成员现在是被追踪为 UAC-0098 的威胁组织的一部分，他们的目标是乌克兰组织和欧洲非政府组织 (NGO)。

UAC-0098 是一个初始访问代理，以使用 IcedID 银行木马为勒索软件组提供对企业网络内受感染系统的访问而闻名。

该公司的威胁分析小组 (TAG) 是一个专门的安全专家团队，充当谷歌用户免受国家支持的攻击的防御力量，在检测到推动 Conti-linked AnchorMail 后门的网络钓鱼活动后，于 4 月开始跟踪该威胁组。

“在与 UAC-0098 的初次相遇中，第一次观察到‘lackeyBuilder’。这是一个以前未公开的 AnchorMail 构建器，是 Conti 组织使用的私人后门之一，” Google TAG 说。

“从那时起，攻击者一直使用网络犯罪分子传统上使用的工具和服务来获取初始访问权限：IcedID 特洛伊木马、EtterSilent 恶意文档构建器和‘Stolen Image Evidence’社会工程恶意软件分发服务。”

在 4 月中旬至 6 月中旬期间观察到该组织的攻击，其战术、技术和程序 (TTP)、工具和诱饵频繁变化，同时针对乌克兰组织（如连锁酒店）并冒充国家网络警察乌克兰或埃隆马斯克和 StarLink 的代表。

在随后的活动中，发现 UAC-0098 在针对乌克兰组织和欧洲非政府组织的网络钓鱼攻击中传递了 IcedID 和 Cobalt Strike 恶意负载。

提供 UAC-0098 恶意负载的文件共享站点 (Google TAG)
Conti 网络犯罪组织的链接
Google TAG 表示，其归因是基于 UAC-0098、Trickbot 和 Conti 网络犯罪组织之间的多次重叠。

“基于多项指标，TAG 评估 UAC-0098 的一些成员是 Conti 网络犯罪组织的前成员，他们将他们的技术重新用于针对乌克兰，”谷歌 TAG 补充道。

“TAG 评估 UAC-0098 作为各种勒索软件组织的初始访问代理，包括 Quantum 和 Conti，俄罗斯网络犯罪团伙 FIN12 / WIZARD SPIDER。

“UAC-0098 活动是东欧经济动机和政府支持团体之间界限模糊的代表性例子，说明威胁行为者改变目标以符合地区地缘政治利益的趋势。”

谷歌今天检测和披露的威胁组织的活动也与 IBM Security X-Force 和 CERT-UA之前的报告一致，后者还将对乌克兰组织和政府实体的攻击与 TrickBot 和 Conti 网络犯罪团伙联系起来。

孔蒂还在
总部位于俄罗斯的 Conti 团伙在 2020 年发起了勒索软件行动，取代了 Ryuk 勒索软件集团。

随着时间的推移，该团伙成长为一个网络犯罪集团，接管了多个恶意软件操作的开发，包括 TrickBot 和 BazarBackdoor。

在 Conti 在入侵乌克兰后支持俄罗斯后，一名乌克兰安全研究人员泄露了属于该团伙的 170,000 多个内部聊天对话，以及Conti 勒索软件加密器的源代码。

虽然该组织已经关闭了“Conti”品牌，但网络犯罪集团在分裂成更小的单元并渗透或接管其他勒索软件或网络犯罪活动后继续运作。

Conti 成员渗透的一些勒索软件团伙包括 BlackCat、Hive、AvosLocker、Hello Kitty 以及最近恢复的 Quantum 操作。

其他 Conti 成员现在正在运行他们自己的不加密数据的数据勒索操作，例如 BlackByte、 Karakurt和 Bazarcall 集体。