Şüpheli bir Rus hibrit casusluk ve nüfuz operasyonunun, Telegram Sivil Savunma adı altında Ukrayna ordusunu hedef almak üzere Windows ve Android kötü amaçlı yazılımlarının bir karışımını dağıttığı gözlemlendi.
Google’ın Tehdit Analiz Grubu (TAG) ve Mandiant, bu isim altındaki etkinliği izliyor UNC5812. adlı bir Telegram kanalını işleten tehdit grubu sivildefense_com_ua10 Eylül 2024’te oluşturuldu. Bu yazının yazıldığı an itibariyle kanalın 184 abonesi var. Ayrıca Civildefense.com adresinde bir web sitesi bulunmaktadır.[.]ua, 24 Nisan 2024’te tescil edildi.
Şirket, “‘Sivil Savunma’, potansiyel askere alınacakların Ukraynalı asker toplayanların kitle kaynaklı konumlarını görüntülemesine ve paylaşmasına olanak sağlamak için tasarlanmış ücretsiz yazılım programları sağlayıcısı olduğunu iddia ediyor.” söz konusu The Hacker News ile paylaşılan bir raporda.
Bu programların Google Play Koruması devre dışı bırakılmış Android cihazlara yüklenmesi durumunda, SUNSPINNER adlı sahte bir haritalama uygulamasıyla birlikte işletim sistemine özel ticari bir kötü amaçlı yazılım dağıtacak şekilde tasarlandılar.
UNC5812’nin aynı zamanda etkileme operasyonlarında aktif olarak yer aldığı, anlatıları yaydığı ve Ukrayna’nın seferberlik ve asker toplama çabalarına verilen desteği zayıflatmayı amaçlayan içerik talep ettiği söyleniyor.
Google Tehdit İstihbarat Grubu, “UNC5812’nin kampanyası, Rusya’nın siber yetenekleri aracılığıyla bilişsel etki elde etmeye verdiği vurgunun son derece karakteristik özelliğidir ve mesajlaşma uygulamalarının kötü amaçlı yazılım dağıtımında ve Rusya’nın Ukrayna’daki savaşının diğer siber boyutlarında oynamaya devam ettiği belirgin rolü vurgulamaktadır.” dedi. .
Telegram kanalını ve web sitesini diğer meşru, yerleşik Ukraynaca Telegram kanalları tarafından tanıtılan Sivil Savunma, mağdurları, işletim sistemine bağlı olarak kötü amaçlı yazılımların indirildiği web sitesine yönlendirmeyi amaçlamaktadır.
Windows kullanıcıları için, ZIP arşivi, SUNSPINNER’ı dağıtmak için kullanılan Pronsis adlı yeni keşfedilen PHP tabanlı bir kötü amaçlı yazılım yükleyicinin ve aylık abonelik için 150 ABD doları arasında bir fiyata reklamı yapılan PureStealer olarak bilinen kullanıma hazır bir hırsız kötü amaçlı yazılımın konuşlandırılmasına yol açar. Ömür boyu lisans için 699 dolar.
SUNSPINNER ise kullanıcılara, aktör kontrollü bir komuta ve kontrol (C2) sunucusundan Ukraynalı askeri askerlerin sözde konumlarını gösteren bir harita gösteriyor.
Saldırı zinciri, Android cihazlardan web sitesine gidenler için kötü amaçlı bir APK dosyası dağıtıyor (paket adı: “com.http.masters“) CraxsRAT olarak adlandırılan bir uzaktan erişim truva atı yerleştirir.
Web sitesi ayrıca, mağdurlara Google Play Korumayı nasıl devre dışı bırakacakları ve ona istenen tüm izinleri vererek kötü amaçlı yazılımın engellenmeden çalışmasına izin verecekleri konusunda rehberlik eden talimatlar da içeriyor.
CraxsRAT bir kötü şöhretli Android kötü amaçlı yazılım ailesi uzaktan cihaz kontrolü ve tuş kaydı, hareket manipülasyonu ve kameraların, ekranların ve çağrıların kaydedilmesi gibi gelişmiş casus yazılım işlevlerine yönelik yeteneklerle birlikte gelir.
Kötü amaçlı yazılımın Ağustos 2023’ün sonlarında Cyfirma tarafından kamuya açıklanmasının ardından, projenin arkasındaki tehdit aktörü EVLF, faaliyetlerini durdurmaya karar verdi, ancak bunu daha önce Telegram kanalını Çince konuşan bir tehdit aktörüne satmadan önce yapmadı.
Mayıs 2024 itibarıyla EVLF’nin sahip olduğu söyleniyor gelişmeyi durdurdu Kötü amaçlı yazılımın dolandırıcılar ve crackli versiyonları nedeniyle üzerine gidildiğini ancak her makineden erişilebilen web tabanlı yeni bir versiyon üzerinde çalıştıklarını söyledi.
Google, “Sivil Savunma web sitesi aynı zamanda macOS ve iPhone desteğinin reklamını yaparken, analiz sırasında yalnızca Windows ve Android verileri mevcuttu” dedi.
“Web sitesinin SSS bölümü, Android uygulamasının App Store dışında barındırılmasına yönelik gergin bir gerekçe içeriyor; bunun kullanıcılarının ‘anonimliğini ve güvenliğini koruma’ çabası olduğunu öne sürüyor ve onları bir dizi video talimatına yönlendiriyor.”