Er is een vermoedelijke Russische hybride spionage- en beïnvloedingsoperatie waargenomen die een mix van Windows- en Android-malware levert om het Oekraïense leger onder de Telegram-persona Civil Defense aan te vallen.
Google’s Threat Analysis Group (TAG) en Mandiant volgen de activiteit onder de naam UNC5812. De dreigingsgroep, die een Telegram-kanaal exploiteert met de naam civildefense_com_ua, werd opgericht op 10 september 2024. Op het moment van schrijven heeft het kanaal 184 abonnees. Het onderhoudt ook een website op civildefense.com(.)ua die op 24 april 2024 werd geregistreerd.
“‘Civil Defense’ beweert een leverancier te zijn van gratis softwareprogramma’s die zijn ontworpen om potentiële dienstplichtigen in staat te stellen crowdsourced-locaties van Oekraïense militaire rekruteerders te bekijken en te delen”, aldus het bedrijf in een rapport gedeeld met The Hacker News.
Mochten deze programma’s worden geïnstalleerd op Android-apparaten waarop Google Play Protect is uitgeschakeld, dan zijn ze ontworpen om besturingssysteemspecifieke standaardmalware te implementeren, samen met een lokvogelkaartapplicatie genaamd SUNSPINNER.
UNC5812 zou ook actief betrokken zijn bij beïnvloedingsoperaties, het verspreiden van verhalen en het vragen om inhoud die bedoeld is om de steun voor de mobilisatie- en militaire rekruteringsinspanningen van Oekraïne te ondermijnen.
“De campagne van UNC5812 is zeer kenmerkend voor de nadruk die Rusland legt op het bereiken van cognitief effect via zijn cybercapaciteiten, en benadrukt de prominente rol die berichtenapps blijven spelen bij het leveren van malware en andere cyberdimensies van de Russische oorlog in Oekraïne”, aldus Google Threat Intelligence Group. .
Civil Defense, dat zijn Telegram-kanaal en website heeft laten promoten door andere legitieme, gevestigde Oekraïense Telegram-kanalen, heeft tot doel slachtoffers naar zijn website te leiden vanwaar kwaadaardige software wordt gedownload, afhankelijk van het besturingssysteem.
Voor Windows-gebruikers leidt het ZIP-archief tot de implementatie van een nieuw ontdekte PHP-gebaseerde malware-lader genaamd Pronsis die wordt gebruikt om SUNSPINNER te distribueren en een kant-en-klare stealer-malware bekend als PureStealer die wordt geadverteerd voor ergens tussen de $ 150 voor een maandelijks abonnement op $ 699 voor een levenslange licentie.
SUNSPINNER van zijn kant toont aan gebruikers een kaart die vermeende locaties van Oekraïense militaire rekruten weergeeft vanaf een door acteurs bestuurde command-and-control (C2)-server.
Voor degenen die vanaf Android-apparaten naar de website navigeren, implementeert de aanvalsketen een kwaadaardig APK-bestand (pakketnaam: “com.http.masters”) dat een trojan voor externe toegang insluit, genaamd CraxsRAT.
De website bevat ook instructies die slachtoffers begeleiden bij het uitschakelen van Google Play Protect en het verlenen van alle gevraagde toestemmingen, zodat de malware ongehinderd kan functioneren.
CraxsRAT is een beruchte Android-malwarefamilie die wordt geleverd met mogelijkheden voor apparaatbediening op afstand en geavanceerde spywarefuncties zoals keylogging, gebarenmanipulatie en het opnemen van camera’s, schermen en oproepen.
Nadat de malware eind augustus 2023 publiekelijk aan het licht was gebracht door Cyfirma, besloot EVLF, de dreigingsactor achter het project, de activiteiten stop te zetten, maar niet voordat ze hun Telegram-kanaal aan een Chinees sprekende dreigingsactor hadden verkocht.
Vanaf mei 2024 zou EVLF de ontwikkeling van de malware hebben stopgezet vanwege oplichters en gekraakte versies, maar zei dat ze werken aan een nieuwe webgebaseerde versie die vanaf elke machine toegankelijk is.
“Hoewel de Civil Defense-website ook ondersteuning voor macOS en iPhones adverteert, waren op het moment van analyse alleen Windows- en Android-payloads beschikbaar”, aldus Google.
“De FAQ van de website bevat een gespannen rechtvaardiging voor het hosten van de Android-applicatie buiten de App Store, wat suggereert dat het een poging is om ‘de anonimiteit en veiligheid’ van zijn gebruikers te beschermen, en hen naar een reeks begeleidende video-instructies te verwijzen.”
