Ruski hakeri napadaju ukrajinsku vojnu pomoću malicioznog softvera za Windows i Android

Hakeri ciljaju Telegram za distribuciju malicioznog softvera zbog njegovih sigurnosnih nedostataka i korisnih funkcija koje olakšavaju dijeljenje datoteka.

Anonimnost i velika baza korisnika Telegrama dodatno povećavaju njegovu privlačnost za nezakonite aktivnosti.

Google Threat Intelligence Group nedavno je otkrio da ruski hakeri napadaju ukrajinsku vojsku malverom putem Telegrama.

Tehnička analiza

U septembru 2024., Google-ova Threat Intelligence Group, koju čine TAG i Mandiant, otkrila je sofisticiranu rusku sajber operaciju kodnog naziva UNC5812 koja je djelovala preko obmanjujućih Telegram kanala “@civildefense_com_ua” i web stranice “civildefense[.]com.ua”. 

Prema Google Cloud izvještaju , operacija je predstavljala uslugu koja pruža softver za praćenje ukrajinskih vojnih regruta, ali je zapravo distribuisao maliciozni softver (malware) koji cilja i Windows i Android uređaje. 

Za korisnike Windowsa, operacija je implementirala Pronsis Loader, program za preuzimanje napisan u PHP-u i kompajliran u bajt kod Java virtuelne mašine koristeći JPHP, koji je zatim instalirao dve varijante malicioznog softvera:- 

• SUNSPINNER (aplikacija za mapiranje mamaca)
• PURESTEALER (maliciozni softver za krađu informacija)

Korisnici Androida bili su ciljani CRAXSRAT-om, komercijalnim backdoor malverom, koji je zahtijevao od korisnika da onemoguće Google Play Protect radi instalacije. 

Operacija se proširila putem promoviranih objava na legitimnim ukrajinskim Telegram kanalima, uključujući kanal za upozorenje o projektilima s više od 80.000 pretplatnika, i nastavila aktivnu promociju najmanje do 8. oktobra 2024. 

Tehnička sofisticiranost kampanje bila je očigledna u njenom višestepenom sistemu isporuke malicioznog softvera, koji je uključivao taktiku društvenog inženjeringa kako bi uvjerio korisnike da onemoguće sigurnosne funkcije i daju opsežne dozvole. 

Istovremeno, UNC5812 je sproveo operaciju uticaja putem svoje platforme koja podstiče korisnike da šalju video zapise „nepoštenih radnji teritorijalnih centara za zapošljavanje“ putem namenskog Telegram naloga (https://t[.]me/UAcivildefenseUA).

Dok se sve ove stvari rade održavanjem odjeljka vijesti sa “sadržajem protiv mobilizacije” koji je kasnije podijeljen na proruskim društvenim mrežama poput “Ruske ambasade u Južnoj Africi X (bivši Twitter) račun”.

Operacija koristi obmanjujuću aplikaciju za mapiranje pod nazivom SUNSPINNER (MD5: 4ca65a7efe2e4502e2031548ae588cb8), izgrađenu koristeći Flutter okvir, koji prikazuje fabrikovane lokacije ukrajinskih vojnih regruta dok se povezuje na C2 server na h3152225216.ru. 

Za Windows sisteme, napad počinje sa CivilDefense.exe (MD5: 7ef871a86d076dac67c2036d1bb24c39) koristeći “Pronsis Loader” za isporuku i SUNSPINNER i sekundarnog preuzimača “civildefensestarter.exe” (MD5: d36d303d2954cb4309d34c613747ce58).

To je dovelo do instaliranja PURESTEALER-a (MD5: b3cf993d918c2c61c7138b4b8a98b6bf) koji je komercijalni .NET-bazirani kradljivač informacija koji prikuplja “pretraživača kredencijala”, “ novčanike za kriptovalute ” i “podatke aplikacije za razmjenu poruka”. 

Android vektor napada distribuira CivilDefensse.apk (MD5: 31cdae71f21e1fad7581b5f305a9d185), koji sadrži CRAXSRAT koji je komercijalni Android backdoor sposoban za “manipulaciju datotekama”, “presretanje SMS-a”, “krađu kredencijala” i “shvatanje uređaja”.

Za operativnu kontrolu i eksfiltraciju podataka, oba tipa zlonamjernog softvera nastavljaju da se povezuju na istu pozadinsku infrastrukturu putem “fu-laravel.onrender[.]com/api/markers.”

Ovo je dio planirane kampanje sajber špijunaže koja ima za cilj regrutaciju ukrajinske vojske nakon nedavnih promjena ukrajinskih zakona o mobilizaciji i uvođenja digitalnih vojnih isprava 2024. godine.

Izvor: CyberSecurityNews