Googleは9月7日(米国時間)、「Initial access broker repurposing techniques in targeted attacks against Ukraine」において、サイバー犯罪者グループ「Conti」の元メンバーがウクライナを標的としたキャンペーンを展開していると伝えた。Contiの元メンバーで構成されている「UAC-0098」と呼ばれるサイバー犯罪者グループが2022年4月から8月にかけ、5種類のキャンペーンをウクライナに展開していることがわかった。
UAC-0098は、歴史的にIcedIDと呼ばれるバンキング型トロイの木馬を配信し、人為的なランサムウェア攻撃につなげることで有名なサイバー犯罪者グループ。Googleの脅威分析グループ(TAG: Threat Analysis Group)の調査により、ウクライナの組織、ウクライナ政府、ヨーロッパの人道支援団体や非営利団体に標的を移していることが明らかとなった。
脅威分析グループは2022年4月下旬に「AnchorMail」を配信するメールフィッシングキャンペーンを確認している。AnchorMailは、コマンド&コントロール(C2: Command and Control)通信にシンプルなメール転送プロトコル(SMTPS)を使用するAnchorマルウェアのバックドアで、Contiグループが開発したと評価されている。
他にも同グループによる複数のメールフィッシングキャンペーンが観測されている。例えば、ウクライナのホスピタリティ業界で働く組織をターゲットにしたものやテクノロジー、小売、および政府機関に対するサイバー攻撃が確認されている。攻撃者はウクライナの警察やElon Musk氏になりすまし、Cobalt Strikeに感染させるメールを送りつけていたという。
Googleは、UAC-0098の活動は金銭的動機のあるグループと政府の支援を受けたグループの境界があいまいになっている代表的な例であるとし、脅威者が地域の地政学的利益に沿うようにターゲットを変える傾向にあると分析している。ヨーロッパの非政府組織(NGO: Non-Governmental Organization)からウクライナの政府機関および組織など標的が多岐に渡るとし、侵害に成功した後に同グループがどのような行動を取るかは確認されていないとしている。