谷歌威脅分析小組（TAG）在周三的一篇文章中提到—— 某個吸納了前Conti 勒索軟件團伙的網絡犯罪組織，正針對烏克蘭政府和歐洲非政府組織發起攻擊。明面上，俄烏衝突已經持續了半年多。但在幕後，包括黑客攻擊和電子戰在內的網絡活動，也一直在暗中展開較量。

文件分享網站上的UAC-0098 有效載荷（圖自：Google TAG）

最新消息是，TAG 的Pierre-Marc Bureau 指出—— 追求利潤的網絡犯罪組織，也在該領域變得愈加活躍。

2022 年4-8 月，TAG 一直在追踪涉烏網絡行動。有線索表明它們與得到俄方支持的攻擊者密切相關。

其中之一，已被烏克蘭國家計算機緊急響應小組（CERT）指定為UAC-0098 。

託管的被盜線索

與此同時，TAG 又將之與肆虐全球的Conti 勒索軟件團伙聯繫了起來—— 今年5 月，該組織曾攻擊癱瘓了哥斯達黎加的政府機構。

基於多項分析評估指標，TAG 認定UAC-0098 的部分團伙、也是Conti 網絡犯罪組織的前成員，理由是他們將類似的技術運用到了針對烏克蘭的目標上。

此前該組織有使用名為IcedID 的網銀木馬來開展勒索軟件攻擊。但Google 安全研究人員稱，其現又轉向了“既有政治動機、也受利益趨勢”的攻擊活動。

釣魚郵件示例（翻譯自烏克蘭語）

TAG 分析，該組織成員正利用其專業知識來充當初始訪問代理—— 黑客先是破壞了計算機系統，然後將訪問權限出售給對特定目標感興趣的其它攻擊參與者。

在最近的一輪活動中，UAC-0098 向烏克蘭酒店業的一些組織發去了網絡釣魚電子郵件，並且假借了網警的身份。

在另一個案例中，該組織還通過一家被黑的印度酒店的郵件地址，向意大利的一個人道主義非政府組織發起了釣魚攻擊。

其它活動還涉嫌冒充星鏈互聯網衛星服務的代表，以引誘受害者安裝所謂的必要聯網軟件。

PowerShell 腳本示例

最後，這家與Conti 有染的黑客組織，還曾於5 月下旬的首次公開後不久，就利用了Windows操作系統中的Follina 漏洞。

不過TAG 表示，在本次和其它攻擊活動中，他們尚不清楚UAC-0098 在初始攻擊得逞後還採取了哪些行動。

當然，此類黑客攻擊也並不總是能笑到最後。比如在俄烏衝突爆發初期，高調宣布挺俄的該組織，就被某匿名個人洩露了它們內部一年多的聊天記錄。