Russia

ロシアの脅威グループ「UNC5812」が、ウクライナ軍の新兵をターゲットにWindowsとAndroidのマルウェアを使用したハイブリッドなスパイ/インフルエンスキャンペーンを展開していたことが明らかになった。

Googleの脅威インテリジェンスによると、このキャンペーンは、ウェブサイトや専用のTelegramチャンネルとともに「民間防衛」ペルソナになりすまし、研究者によって「Sunspinner」と名付けられた偽のリクルート回避アプリを通じてマルウェアを配布していました。

このキャンペーンは、WindowsとAndroid端末を標的とし、それぞれのプラットフォーム用に異なるマルウェアを使用することで、攻撃者にデータ窃取とリアルタイムのスパイ機能を提供している。

グーグルは、この悪質な活動をブロックするための保護策を導入しているが、この作戦は、サイバー戦争空間におけるロシアの継続的な利用と広範な能力を浮き彫りにしている。

偽の「民間防衛」ペルソナ

UNC5812のペルソナは、ウクライナの民間防衛や政府機関になりすまそうとはしておらず、代わりにウクライナ人徴兵兵に役立つソフトウェアツールやアドバイスを提供する合法的なウクライナ友好組織として宣伝しています。

このペルソナはテレグラム・チャンネルとウェブサイトを使い、潜在的な被害者を巻き込み、ウクライナの徴兵・動員活動に反対するシナリオを配信し、国民の不信と抵抗をあおることを狙っている。

グーグルが2024年9月18日にこのキャンペーンを発見したとき、テレグラムの「民間防衛」チャンネルには8万人のメンバーがいた。

Civil Defense channel on Telegram
テレグラムの民間防衛チャンネル
ソースはこちら:グーグル

騙されてCivil Defenseのウェブサイトにアクセスしたユーザーは、クラウドソーシングの地図ツールとして宣伝されている悪質なアプリケーションのダウンロードページに誘導される。

グーグルはこのアプリを「サンスピナー」と呼んでおり、アプリにはマーカー付きの地図が表示されるが、グーグルによれば、データは捏造されたものだという。このアプリの唯一の目的は、バックグラウンドで行われるマルウェアのインストールを隠すことだという。

Malicious website spreading malware
マルウェアを拡散する悪質なウェブサイト
ソースはこちら:グーグル

WindowsやAndroidのマルウェアを落とす

この偽アプリは、WindowsとAndroidのダウンロードを提供し、iOSとmacOSをすぐに追加することを約束しているため、Appleのプラットフォームはまだサポートされていません。

Windowsのダウンロードでは、Pronsis Loaderというマルウェアローダーがインストールされ、UNC5812のサーバーからコモディティ情報ステーラー「PureStealer」を含む追加の悪意のあるペイロードをフェッチする。

PureStealerは、アカウントのパスワード、クッキー、暗号通貨ウォレットの詳細、電子メールクライアント、メッセージングアプリのデータなど、ウェブブラウザに保存されている情報を狙います。

Androidの場合、ダウンロードされたAPKファイルは、市販のバックドアでもあるCraxsRATをドロップする。

CraxsRATにより、攻撃者は被害者の位置をリアルタイムで追跡し、キー入力を記録し、音声記録を有効化し、連絡先リストを取得し、SMSメッセージにアクセスし、ファイルを流出させ、認証情報を採取することができる。

これらの悪質な活動を阻止するため、このアプリはユーザーを騙し、Androidに内蔵されたマルウェア対策ツールであるGoogle Playプロテクトを無効にさせ、危険な権限を手動で付与させます。

Video containing instructions on how to disable Play Protect
Play Protectを無効にする方法の説明ビデオ
ソースはこちら:グーグル

グーグルは、Androidマルウェアを早期に検知してブロックするためにGoogle Playプロテクトを更新し、また、このキャンペーンに関連するドメインとファイルをChromeの「セーフブラウジング」機能に追加した。

最新のUNC5812キャンペーンに関連する侵害の指標の完全なリストは、こちらをご覧ください。