Uma suspeita operação híbrida russa de espionagem e influência foi observada entregando uma mistura de malware para Home windows e Android para atingir os militares ucranianos sob a defesa civil do Telegram.
O Menace Evaluation Group (TAG) do Google e a Mandiant estão rastreando a atividade sob o nome UNC5812. O grupo de ameaças, que opera um canal Telegram denominado civildefense_com_ua, foi criado em 10 de setembro de 2024. No momento da escrita, o canal tinha 184 assinantes. Também mantém um website em civildefense.com(.)ua que foi registrado em 24 de abril de 2024.
“A 'Defesa Civil' afirma ser um fornecedor de programas de software program gratuitos projetados para permitir que recrutas em potencial visualizem e compartilhem localizações de recrutadores militares ucranianos”, disse a empresa em um relatório compartilhado com o The Hacker Information.
Caso esses programas sejam instalados em dispositivos Android com o Google Play Defend desativado, eles serão projetados para implantar um malware específico do sistema operacional, juntamente com um aplicativo de mapeamento chamariz denominado SUNSPINNER.
Diz-se também que o UNC5812 está ativamente envolvido em operações de influência, divulgando narrativas e solicitando conteúdos destinados a minar o apoio à mobilização e aos esforços de recrutamento militar da Ucrânia.
“A campanha da UNC5812 é altamente característica da ênfase que a Rússia coloca na obtenção de efeitos cognitivos através de suas capacidades cibernéticas e destaca o papel proeminente que os aplicativos de mensagens continuam a desempenhar na entrega de malware e outras dimensões cibernéticas da guerra da Rússia na Ucrânia”, disse o Google Menace Intelligence Group. .
A Defesa Civil, que teve seu canal e website do Telegram promovidos por outros canais legítimos e estabelecidos do Telegram em língua ucraniana, tem como objetivo direcionar as vítimas ao seu website, de onde o software program malicioso é baixado, dependendo do sistema operacional.
Para usuários do Home windows, o arquivo ZIP leva à implantação de um recém-descoberto carregador de malware baseado em PHP chamado Pronsis, usado para distribuir o SUNSPINNER, e um malware ladrão pronto para uso, conhecido como PureStealer, anunciado por algo entre US$ 150 por assinatura mensal para $ 699 para uma licença vitalícia.
O SUNSPINNER, por sua vez, exibe aos usuários um mapa que apresenta supostas localizações de recrutas militares ucranianos a partir de um servidor de comando e controle (C2) controlado por atores.
Para aqueles que navegam para o website a partir de dispositivos Android, a cadeia de ataque implanta um arquivo APK malicioso (nome do pacote: “com.http.masters”) que incorpora um trojan de acesso remoto conhecido como CraxsRAT.
O website também inclui instruções que orientam as vítimas sobre como desativar o Google Play Defend e conceder-lhe todas as permissões solicitadas, permitindo que o malware funcione sem impedimentos.
CraxsRAT é uma notória família de malware Android que vem com recursos para controle remoto de dispositivos e funções avançadas de spy ware, como keylogging, manipulação de gestos e gravação de câmeras, telas e chamadas.
Depois que o malware foi exposto publicamente pela Cyfirma no last de agosto de 2023, EVLF, o ator de ameaça por trás do projeto, decidiu encerrar a atividade, mas não antes de vender seu canal Telegram para um ator de ameaça de língua chinesa.
Em maio de 2024, o EVLF interrompeu o desenvolvimento do malware devido a golpistas e versões crackeadas, mas disse que está trabalhando em uma nova versão baseada na net que pode ser acessada de qualquer máquina.
“Embora o website da Defesa Civil também anuncie suporte para macOS e iPhones, apenas cargas úteis de Home windows e Android estavam disponíveis no momento da análise”, disse o Google.
“O FAQ do website contém uma justificativa tensa para o aplicativo Android hospedado fora da App Retailer, sugerindo que é um esforço para 'proteger o anonimato e a segurança' de seus usuários e direcionando-os para um conjunto de instruções em vídeo.”
