Şüpheli bir Rus hibrit casusluk ve nüfuz operasyonunun, Telegram Sivil Savunma adı altında Ukrayna ordusunu hedef almak üzere Windows ve Android kötü amaçlı yazılımlarının bir karışımını dağıttığı gözlemlendi.
Google’ın Tehdit Analiz Grubu (TAG) ve Mandiant, bu isim altındaki etkinliği izliyor UNC5812. Civildefense_com_ua isimli Telegram kanalını işleten tehdit grubu, 10 Eylül 2024’te kuruldu. Bu yazının yazıldığı an itibarıyla kanalın 184 abonesi bulunuyor. Ayrıca Civildefense.com adresinde bir web sitesi bulunmaktadır.[.]ua, 24 Nisan 2024’te tescil edildi.
The Hacker News ile paylaşılan bir raporda şirket, “‘Sivil Savunma’, potansiyel askere alınacak kişilerin Ukraynalı askeri işe alım görevlilerinin kitle kaynaklı konumlarını görüntülemesine ve paylaşmasına olanak sağlamak için tasarlanmış ücretsiz yazılım programları sağlayıcısı olduğunu iddia ediyor.” dedi.
Bu programların Google Play Koruması devre dışı bırakılmış Android cihazlara yüklenmesi durumunda, SUNSPINNER adlı sahte bir haritalama uygulamasıyla birlikte işletim sistemine özel ticari bir kötü amaçlı yazılım dağıtacak şekilde tasarlandılar.
UNC5812’nin aynı zamanda etkileme operasyonlarında aktif olarak yer aldığı, anlatıları yaydığı ve Ukrayna’nın seferberlik ve asker toplama çabalarına verilen desteği zayıflatmayı amaçlayan içerik talep ettiği söyleniyor.
Google Tehdit İstihbarat Grubu, “UNC5812’nin kampanyası, Rusya’nın siber yetenekleri aracılığıyla bilişsel etki elde etmeye verdiği vurgunun son derece karakteristik özelliğidir ve mesajlaşma uygulamalarının kötü amaçlı yazılım dağıtımında ve Rusya’nın Ukrayna’daki savaşının diğer siber boyutlarında oynamaya devam ettiği belirgin rolü vurgulamaktadır.” dedi. .
Telegram kanalını ve web sitesini diğer meşru, yerleşik Ukraynaca Telegram kanalları tarafından tanıtılan Sivil Savunma, mağdurları, işletim sistemine bağlı olarak kötü amaçlı yazılımların indirildiği web sitesine yönlendirmeyi amaçlamaktadır.
Windows kullanıcıları için, ZIP arşivi, SUNSPINNER’ı dağıtmak için kullanılan Pronsis adlı yeni keşfedilen PHP tabanlı bir kötü amaçlı yazılım yükleyicinin ve aylık abonelik için 150 ABD doları arasında bir fiyata reklamı yapılan PureStealer olarak bilinen kullanıma hazır bir hırsız kötü amaçlı yazılımın konuşlandırılmasına yol açar. Ömür boyu lisans için 699 dolar.
SUNSPINNER ise kullanıcılara, aktör kontrollü bir komuta ve kontrol (C2) sunucusundan Ukraynalı askeri askerlerin sözde konumlarını gösteren bir harita gösteriyor.
Saldırı zinciri, Android cihazlardan web sitesine gidenler için CraxsRAT olarak adlandırılan uzaktan erişim truva atını içeren kötü amaçlı bir APK dosyası (paket adı: “com.http.masters”) dağıtıyor.
Web sitesi ayrıca, mağdurlara Google Play Korumayı nasıl devre dışı bırakacakları ve ona istenen tüm izinleri vererek kötü amaçlı yazılımın engellenmeden çalışmasına izin verecekleri konusunda rehberlik eden talimatlar da içeriyor.
CraxsRAT, uzaktan cihaz kontrolü yetenekleri ve tuş günlüğü tutma, hareket manipülasyonu ve kameraların, ekranların ve çağrıların kaydedilmesi gibi gelişmiş casus yazılım işlevleriyle birlikte gelen kötü şöhretli bir Android kötü amaçlı yazılım ailesidir.
Kötü amaçlı yazılımın Ağustos 2023’ün sonlarında Cyfirma tarafından kamuya açıklanmasının ardından, projenin arkasındaki tehdit aktörü EVLF, faaliyetlerini durdurmaya karar verdi, ancak bunu daha önce Telegram kanalını Çince konuşan bir tehdit aktörüne satmadan önce yapmadı.
Mayıs 2024 itibarıyla EVLF’nin, dolandırıcılar ve crackli sürümler nedeniyle kötü amaçlı yazılım üzerinde geliştirmeyi durdurduğu ancak herhangi bir makineden erişilebilen web tabanlı yeni bir sürüm üzerinde çalıştıkları belirtildi.
Google, “Sivil Savunma web sitesi aynı zamanda macOS ve iPhone desteğinin reklamını yaparken, analiz sırasında yalnızca Windows ve Android verileri mevcuttu” dedi.
“Web sitesinin SSS bölümü, Android uygulamasının App Store dışında barındırılmasına yönelik gergin bir gerekçe içeriyor; bunun kullanıcılarının ‘anonimliğini ve güvenliğini koruma’ çabası olduğunu öne sürüyor ve onları bir dizi video talimatına yönlendiriyor.”