Bilgisayar korsanları, güvenlik kusurları ve dosya paylaşımını kolaylaştıran kullanıcı dostu özellikleri nedeniyle kötü amaçlı yazılım dağıtımı için Telegram’ı hedefliyor.
Telegram’ın anonimliği ve geniş kullanıcı tabanı, yasadışı faaliyetlere olan ilgisini daha da artırıyor.
Google Tehdit İstihbarat Grubu yakın zamanda Rus bilgisayar korsanlarının Telegram aracılığıyla Ukrayna ordusuna kötü amaçlı yazılımla saldırdığını keşfetti.
Teknik Analiz
Eylül 2024’te, Google’ın TAG ve Mandiant’tan oluşan Tehdit İstihbarat Grubu, UNC5812 kod adlı, yanıltıcı bir Telegram kanalı “@civildefense_com_ua” ve “civildefense” web sitesi aracılığıyla yürütülen karmaşık bir Rus siber operasyonunu ortaya çıkardı.[.]com.ua”.
.webp)
Google Cloud raporuna göre, operasyon, Ukraynalı askeri personel alımı yapanları takip etmek için bir hizmet sağlayıcı yazılım gibi görünse de aslında hem Windows hem de Android cihazlarını hedef alan kötü amaçlı yazılım (kötü amaçlı yazılım) dağıttı.
İşlem, Windows kullanıcıları için PHP ile yazılmış ve JPHP kullanılarak Java Sanal Makinesi bayt kodunda derlenen bir indirici olan Pronsis Loader’ı dağıttı ve daha sonra iki kötü amaçlı yazılım çeşidini yükledi: –
- SUNSPINNER (bir tuzak haritalama uygulaması)
- PURESTEALER (bilgi çalan bir kötü amaçlı yazılım)
Android kullanıcıları, ticari bir arka kapı kötü amaçlı yazılımı olan CRAXSRAT tarafından hedef alındı ve bu, kullanıcıların kurulum için Google Play Korumasını devre dışı bırakmasını gerektiriyordu.
Hepsi Bir Arada Siber Güvenlik Platformu Cynet Security %426 yatırım getirisi sağladı – TEI Raporunu İndirin
Operasyon, 80.000’den fazla aboneye sahip bir füze uyarı kanalı da dahil olmak üzere meşru Ukrayna Telegram kanallarındaki tanıtılan gönderiler yoluyla yayıldı ve aktif tanıtımı en az 8 Ekim 2024’e kadar sürdürdü.
Kampanyanın teknik gelişmişliği, kullanıcıları güvenlik özelliklerini devre dışı bırakmaya ve kapsamlı izinler vermeye ikna eden sosyal mühendislik taktiklerini içeren çok aşamalı kötü amaçlı yazılım dağıtım sisteminde açıkça görülüyordu.
Eş zamanlı olarak UNC5812, platformu aracılığıyla, kullanıcıları özel bir Telegram hesabı (https://t) aracılığıyla “bölgesel işe alım merkezlerinden gelen adil olmayan eylemlere” ilişkin videolar göndermeye teşvik eden bir etkileme operasyonu gerçekleştirdi.[.]ben/UAcivildefenseUA).
.webp)
Bütün bunlar, daha sonra “Güney Afrika’daki Rusya Büyükelçiliği’nin X (eski adıyla Twitter) hesabı” gibi Rusya yanlısı sosyal medya ağlarında paylaşılan, “seferberlik karşıtı içerik” içeren bir haber bölümünün sürdürülmesiyle yapılıyor.
Operasyon, h315225216.nichost adresindeki bir C2 sunucusuna bağlanırken Ukraynalı askeri askerlerin uydurma konumlarını görüntüleyen, Flutter çerçevesi kullanılarak oluşturulmuş SUNSPINNER (MD5: 4ca65a7efe2e4502e2031548ae588cb8) adlı aldatıcı bir haritalama uygulamasını kullanıyor.[.]ru.
Windows sistemlerinde saldırı, hem SUNSPINNER hem de ikincil bir indirici olan “civildefensestarter.exe” (MD5: d36d303d2954cb4309d34c613747ce58) sağlamak için “Pronsis Loader”ı kullanan CivilDefense.exe (MD5: 7ef871a86d076dac67c2036d1bb24c39) ile başlar.
Bu, “tarayıcı kimlik bilgilerini”, “kripto para cüzdanlarını” ve “mesajlaşma uygulaması verilerini” toplayan ticari bir .NET tabanlı bilgi hırsızı olan PURESTEALER’ın (MD5: b3cf993d918c2c61c7138b4b8a98b6bf) kurulmasına yol açtı.
Android saldırı vektörü, “dosya manipülasyonu”, “SMS müdahalesi”, “kimlik bilgisi hırsızlığı” ve “kapsamlı cihaz izleme” yeteneğine sahip ticari bir Android arka kapısı olan CRAXSRAT’ı içeren CivilDefensse.apk’yi (MD5: 31cdae71f21e1fad7581b5f305a9d185) dağıtır.
Operasyonel kontrol ve veri hırsızlığı için her iki kötü amaçlı yazılım türü de “fu-laravel.onrender” aracılığıyla aynı arka uç altyapısına bağlanmaya devam ediyor[.]com/api/markers.”
Bu, Ukrayna’nın seferberlik yasalarında yapılan son değişiklikler ve 2024’te dijital askeri kimliklerin kullanıma sunulmasının ardından Ukrayna’nın askeri personel toplama çabalarını amaçlayan planlı bir siber casusluk kampanyasının bir parçası.
Run private, Real-time Malware Analysis in both Windows & Linux VMs. Get a 14-day free trial with ANY.RUN!
Uzlaşma Göstergeleri
| Uzlaşma Göstergeleri | Bağlam |
| sivil savunma[.]iletişim[.]Yapmak | UNC5812 açılış sayfası |
| T[.]ben/civildefense_com_ua | UNC5812 Telgraf kanalı |
| T[.]ben/UAcivildefenseUA | UNC5812 Telegram hesabı |
| e98ee33466a270edc47fdd9faf67d82e | SUNSPINNER tuzağı |
| h315225216.nichost[.]ru | SUNSPINNER tuzağında kullanılan çözücü |
| fu-laravel.onrender[.]iletişim | SUNSPINNER tuzakta kullanılan ana bilgisayar adı |
| 206.71.149[.]194 | Dağıtım URL’lerini çözümlemek için kullanılan C2 |
| 185.169.107[.]44 | Kötü amaçlı yazılım dağıtımı için kullanılan açık dizin |
| d36d303d2954cb4309d34c613747ce58 | Pronsis Yükleyici damlalığı |
| b3cf993d918c2c61c7138b4b8a98b6bf | PURESTEALER |
| 31cdae71f21e1fad7581b5f305a9d185 | CRAXSRAT |
| aab597cdc5bc02f6c9d0d36ddeb7e624 | SUNSPINNER yemli CRAXSRAT |