روسیه طی یک حمله جاسوسی سایبری مبتکرانه و خلاق که ترکیبی از بدافزار ویندوز و اندروید است، متقاضیان استخدام در ارتش اوکراین را توسط اپلیکیشن ” Civil Defense ” یا “دفاع مدنی” مورد نفوذ قرار داد!
این عملیاتِ ترکیبی که محققان گروه تحلیل تهدیدات گوگل (TAG) و Mandiant آن را UNC5812 نامیدهاند از یک کانال تلگرامی به نام civildefense_com_ua برای جذب افراد استفاده میکند تا نسخه مخرب اپلیکیشن رایگان Civil Defense را از یک سایت تحت کنترل هکرها به آدرس civildefense.com[.]ua به قربانیان ارائه دهد.
هکرهای روسی کانال تلگرامی civildefense_com_ua را در دهم سپتامبر 2024 ایجاد کردند و توانستند 184 کاربر را جذب کنند. وب سایت civildefense.com[.]ua نیز در 24 آوریل 2024 به ثبت رسیده است.
اپلیکیشن Civil Defense مدعی است که ارائه دهنده برنامههای نرم افزاری است که به سربازان واجد شرایط برای جنگ با روسیه کمک میکند تا مکانهای جذب و استخدام ارتش اوکراین را مشاهده کنند و به اشتراک بگذارند. این اپلیکیشن جعلی و آلوده به بدافزار، اطلاعات نادرست را به کاربران خود ارائه میدهد.
همزمان با تلاش هکرهای روسی برای استقرار بدافزار بر روی دستگاه قربانیان، هدف دیگر این حمله جاسوسی، ارائه اطلاعات نادرست و انتشار روایتهای ناامید کننده از ارتش اوکراین با هدف سرکوب و تضعیف روحیه سربازان برای شرکت در ارتش این کشور است.
وب سایت civildefense از مهندسی اجتماعی پیشرفتهای برای جلوگیری از سوء ظن کاربران برخوردار است. این وبسایت سه لینک برای تحویل اپلیکیشن مختص سیستم عاملهای macOS، آیفون، اندروید و ویندوز ارائه کرده است اما تنها فایلهای اندروید و ویندوز در زمان نگارش این مقاله در دسترس بودند.
کاربران ویندوز با مراجعه به وب سایت، یک فایل آرشیو ZIP دریافت میکنند که منجر به استقرار یک لودر بدافزار مبتنی بر PHP به نام Pronsis میشود. این لودر نقشه SUNSPINNER و یک بدافزار رباینده اطلاعات به نام PureStealer را بر روی سیستم قربانی مستقر میکند.
SUNSPINNER نقشهای را به کاربران نشان میدهد که مکانهای احتمالی استخدامکنندگان نظامی اوکراینی را نمایش میدهد. تمامی اطلاعات ارائه شده از این برنامه اشتباه است و همگی تحت کنترل هکرهای روسی ارائه میشوند.
زنجیره حمله دستگاههای اندرویدی نیز شامل یک فایل APK مخرب (نام پکیج: “com.http.masters“) است که یک تروجان دسترسی از راه دور به نام CraxsRAT را توزیع میکند.
چنانچه این اپلیکیشن بر روی دستگاههای اندرویدی دارای Google Play Protect غیرفعال نصب شود، Pronsis Loader را به دستگاه قربانی تحویل میدهد. این لودر مسئول اجرای زنجیره نفوذ با ارائه یک بدافزار رباینده اطلاعات اندرویدی به نام Purestealer همراه با اپلیکیشن جعلی Map (نقشه) به نام SUNSPINNER است.
هکرها همچنین یک ویدیو آموزشی شامل دستورالعملهایی برای دریافت و نصب اپلیکیشن، نحوه غیرفعال سازی Google Play Protect و اعطای تمام مجوزهای درخواستی به اپلیکیشن جعلی در وب سایت ارئه کردهاند.
CraxsRAT یک بکدور اندرویدی است که دارای قابلیتهایی برای کنترل دستگاه از راه دور و عملکردهای پیشرفته جاسوسافزار مانند کیلاگر، ضبط دوربین، صفحهنمایش و تماسها میباشد.
این عملیات بر نقش حیاتی برنامههای پیامرسان در توزیع بدافزارها و سایر ابعاد سایبری جنگ روسیه و اوکراین اشاره دارد. روسیه و اوکراین به طور مداوم از حملات سایبری به عنوان بخشی از استراتژی جنگی خود علیه یکدیگر استفاده میکنند.
منابع
مقالات پیشنهادی:
نفوذ بدافزار ANONVNC به رایانههای دولتی اوکراین
نسخه جدید بدافزار RomCom، کابوس نهادهای دولتی اوکراین شد!
حمله به اوکراین توسط یک آسیب پذیری قدیمی در Microsoft Office
کرم رایانهای CMoon، کاربران شرکت گاز روسیه را مورد نفوذ قرار داد
EastWind: حملات سایبری جدید علیه سازمانهای دولتی و فناوری اطلاعات روسیه
