谷歌公布最近几个月，乌克兰遭到网络攻击的详细情况

在过去的五个月里，谷歌一直在追踪一个名为 UAC-0098 的出于经济动机的威胁行为者，该行为者一直在针对乌克兰和欧洲的多个实体进行多次恶意活动。

该组织的活动与俄罗斯政府支持的攻击者的活动密切相关，谷歌的威胁分析小组 (TAG) 认为，至少 UAC-0098 的一些成员是 Conti 勒索软件团伙的前成员。

UAC-0098 因在攻击中使用IcedID 银行木马而广为人知，导致部署人为操作的勒索软件，充当 Quantum 和 Conti 等勒索软件组的访问代理。最近，威胁行为者的目标主要是乌克兰政府，该国的各种组织以及欧洲和一些非营利组织。

4月下旬，UAC-0098 发起了一场电子邮件网络钓鱼活动，以传递 AnchorMail，这是由 Conti 集团开发的 Anchor 后门的变体，之前安装为TrickBot模块。

谷歌表示，这些攻击似乎具有经济和政治动机，而且之所以引人注目，是因为 LackeyBuilder 和批处理脚本被用于动态构建 AnchorMail 。

从4月中旬到6月中旬，该组织使用 IcedID 和Cobalt Strike等恶意软件发起了针对乌克兰酒店业组织的电子邮件活动。

在5月的一次活动中，攻击者冒充乌克兰国家网络警察发送网络钓鱼电子邮件，而在另一次活动中，他们使用了印度一家酒店的被盗账户。同一个电子邮件帐户也被用于针对意大利的人道主义非政府组织，同样使用 IcedID。

同样在5月，UAC-0098冒充Elon Musk 和 StarLink 的代表发送网络钓鱼电子邮件。其中一些电子邮件针对政府、零售和技术部门的各种乌克兰组织。

5月下旬，攻击者以网络钓鱼电子邮件为目标，攻击乌克兰新闻学院 (AUP)，该电子邮件链接到 Dropbox 上的恶意文档，该文档将获取 Cobalt Strike dll。酒店业的组织也成为这些电子邮件的目标。

6月，UAC-0098 被发现利用 CVE-2022-30190，这是一个Windows 漏洞，也称为 Follina。谷歌表示，它通过 10,000 多封冒充乌克兰国家税务局的电子邮件破坏了垃圾邮件活动，这些电子邮件获取了 Cobalt Strike 信标。

谷歌指出：“UAC-0098 活动是东欧经济动机和政府支持的团体之间界限模糊的代表性例子，说明了威胁行为者改变目标以符合地区地缘政治利益的趋势。”

转自 E安全，原文链接：https://mp.weixin.qq.com/s/TN7Zuem8f3iHM_oi9EGnJw

封面来源于网络，如有侵权请联系删除