Google Threat Analysis Group начала активно отслеживать UAC-0098 после того, как в конце апреля 2022 года обнаружила фишинговую кампанию по рассылке AnchorMail (под названием "LackeyBuilder"). AnchorMail - это версия бэкдора Anchor, использующая простой протокол передачи почты (SMTPS) для командно-контрольной связи (C2). Инструмент, который, по оценкам, был разработан группой Conti, ранее был установлен как модуль TrickBot. TAG удалось связать эту активность с предыдущими фишинговыми письмами, направленными на Украину.
Indicators of Compromise
IPv4
- 84.32.190.34
Domains
- baiden.top
- baidenfree.com
- blinkin.top
- donaldtr.com
- gov.uz.ua
- kirbi.top
- kompromatua.info
- microsoftua.com
- starlinkua.info
URLs
- http://5.199.173.152/ked.dll
- http://64.190.113.51:8000/index.html
- http://84.32.190.34/KB2533623.exe
- http://storage.googleapis.com/cor1krp299kh13.appspot.com/
- http://storage.googleapis.com/xpd9q3z05awvw4.appspot.com/
- https://drive.google.com/file/d/19ZtX3k38g2OXQnFkEj3JH4EiI_vUqgnK/view?usp=drive_web
- https://dropfiles.me/download/af46b89ae667c0d0/
Emails
- support@starlinkua.info
- jurnalist@kompromatua.info
SHA256
- 08d30d6646117cd96320447042fb3857b4f82d80a92f31ee91b16044b87929c0
- 1f3c5dd0a79323c57ad194a49eebaaf2f624822df401995e51a4c58b5a607a45
- 8f7e3471c1bb2b264d1b8f298e7b7648dac84ffd8fb2125f3b2566353128e127