نفوذ هکرهای روسیه به استخدام شوندگان ارتش اوکراین توسط اپلیکیشن Civil Defense!

روسیه طی یک حمله جاسوسی سایبری مبتکرانه و خلاق که ترکیبی از بدافزار ویندوز و اندروید است، متقاضیان استخدام در ارتش اوکراین را توسط اپلیکیشن ” Civil Defense ” یا “دفاع مدنی” مورد نفوذ قرار داد!

این عملیاتِ ترکیبی که محققان گروه تحلیل تهدیدات گوگل (TAG) و Mandiant آن را UNC5812 نامیده‌اند از یک کانال تلگرامی به نام civildefense_com_ua برای جذب افراد استفاده می‌کند تا نسخه مخرب اپلیکیشن رایگان Civil Defense را از یک سایت تحت کنترل هکرها به آدرس civildefense.com[.]ua به قربانیان ارائه دهد.

هکرهای روسی کانال تلگرامی civildefense_com_ua را در دهم سپتامبر 2024 ایجاد کردند و توانستند 184 کاربر را جذب کنند. وب سایت civildefense.com[.]ua نیز در 24 آوریل 2024 به ثبت رسیده است.

اپلیکیشن Civil Defense مدعی است که ارائه ‌دهنده برنامه‌های نرم ‌افزاری است که به سربازان واجد شرایط برای جنگ با روسیه کمک می‌کند تا مکان‌های جذب و استخدام ارتش اوکراین را مشاهده کنند و به اشتراک بگذارند. این اپلیکیشن جعلی و آلوده به بدافزار، اطلاعات نادرست را به کاربران خود ارائه میدهد.

همزمان با تلاش هکرهای روسی برای استقرار بدافزار بر روی دستگاه قربانیان، هدف دیگر این حمله جاسوسی، ارائه اطلاعات نادرست و انتشار روایت‌های ناامید کننده از ارتش اوکراین با هدف سرکوب و تضعیف روحیه سربازان برای شرکت در ارتش این کشور است.

وب ‌سایت civildefense از مهندسی اجتماعی پیشرفته‌ای برای جلوگیری از سوء ظن کاربران برخوردار است. این وب‌سایت سه لینک برای تحویل اپلیکیشن مختص سیستم عامل‌‌های macOS، آیفون‌، اندروید و ویندوز ارائه کرده است اما تنها فایل‌های اندروید و ویندوز در زمان نگارش این مقاله در دسترس بودند.

کاربران ویندوز با مراجعه به وب سایت، یک فایل آرشیو ZIP دریافت می‌کنند که منجر به استقرار یک لودر بدافزار مبتنی بر PHP به نام Pronsis می‌شود. این لودر نقشه SUNSPINNER و یک بدافزار رباینده اطلاعات به نام PureStealer را بر روی سیستم قربانی مستقر می‌کند.

SUNSPINNER نقشه‌ای را به کاربران نشان می‌دهد که مکان‌های احتمالی استخدام‌کنندگان نظامی اوکراینی را نمایش می‌دهد. تمامی اطلاعات ارائه شده از این برنامه اشتباه است و همگی تحت کنترل هکرهای روسی ارائه می‌شوند.

زنجیره حمله دستگاه‌های اندرویدی نیز شامل یک فایل APK مخرب (نام پکیج: “com.http.masters“) است که یک تروجان دسترسی از راه دور به نام CraxsRAT را توزیع می‌کند.

چنانچه این اپلیکیشن بر روی دستگاه‌های اندرویدی دارای Google Play Protect غیرفعال نصب شود، Pronsis Loader را به دستگاه قربانی تحویل میدهد. این لودر مسئول اجرای زنجیره نفوذ با ارائه یک بدافزار رباینده اطلاعات اندرویدی به نام Purestealer همراه با اپلیکیشن جعلی Map (نقشه) به نام SUNSPINNER است.

هکرها همچنین یک ویدیو آموزشی شامل دستورالعمل‌هایی برای دریافت و نصب اپلیکیشن، نحوه غیرفعال سازی Google Play Protect و اعطای تمام مجوزهای درخواستی به اپلیکیشن جعلی در وب سایت ارئه کرده‌اند.

CraxsRAT یک بکدور اندرویدی است که دارای قابلیت‌هایی برای کنترل دستگاه از راه دور و عملکردهای پیشرفته جاسوس‌افزار مانند کیلاگر، ضبط دوربین، صفحه‌نمایش و تماس‌ها می‌باشد.

این عملیات بر نقش حیاتی برنامه‌های پیام‌رسان در توزیع بدافزارها و سایر ابعاد سایبری جنگ روسیه و اوکراین اشاره دارد. روسیه و اوکراین به طور مداوم از حملات سایبری به عنوان بخشی از استراتژی جنگی خود علیه یکدیگر استفاده می‌کنند.

منابع