Hakeri ciljaju Telegram za distribuciju malicioznog softvera zbog njegovih sigurnosnih nedostataka i korisnih funkcija koje olakšavaju dijeljenje datoteka.
Anonimnost i velika baza korisnika Telegrama dodatno povećavaju njegovu privlačnost za nezakonite aktivnosti.
Google Threat Intelligence Group nedavno je otkrio da ruski hakeri napadaju ukrajinsku vojsku malverom putem Telegrama.
Tehnička analiza
U septembru 2024., Google-ova Threat Intelligence Group, koju čine TAG i Mandiant, otkrila je sofisticiranu rusku sajber operaciju kodnog naziva UNC5812 koja je djelovala preko obmanjujućih Telegram kanala “@civildefense_com_ua” i web stranice “civildefense[.]com.ua”.
Prema Google Cloud izvještaju , operacija je predstavljala uslugu koja pruža softver za praćenje ukrajinskih vojnih regruta, ali je zapravo distribuisao maliciozni softver (malware) koji cilja i Windows i Android uređaje.
Za korisnike Windowsa, operacija je implementirala Pronsis Loader, program za preuzimanje napisan u PHP-u i kompajliran u bajt kod Java virtuelne mašine koristeći JPHP, koji je zatim instalirao dve varijante malicioznog softvera:-
- SUNSPINNER (aplikacija za mapiranje mamaca)
- PURESTEALER (maliciozni softver za krađu informacija)
Korisnici Androida bili su ciljani CRAXSRAT-om, komercijalnim backdoor malverom, koji je zahtijevao od korisnika da onemoguće Google Play Protect radi instalacije.
Operacija se proširila putem promoviranih objava na legitimnim ukrajinskim Telegram kanalima, uključujući kanal za upozorenje o projektilima s više od 80.000 pretplatnika, i nastavila aktivnu promociju najmanje do 8. oktobra 2024.
Tehnička sofisticiranost kampanje bila je očigledna u njenom višestepenom sistemu isporuke malicioznog softvera, koji je uključivao taktiku društvenog inženjeringa kako bi uvjerio korisnike da onemoguće sigurnosne funkcije i daju opsežne dozvole.
Istovremeno, UNC5812 je sproveo operaciju uticaja putem svoje platforme koja podstiče korisnike da šalju video zapise „nepoštenih radnji teritorijalnih centara za zapošljavanje“ putem namenskog Telegram naloga (https://t[.]me/UAcivildefenseUA).
Dok se sve ove stvari rade održavanjem odjeljka vijesti sa “sadržajem protiv mobilizacije” koji je kasnije podijeljen na proruskim društvenim mrežama poput “Ruske ambasade u Južnoj Africi X (bivši Twitter) račun”.
Operacija koristi obmanjujuću aplikaciju za mapiranje pod nazivom SUNSPINNER (MD5: 4ca65a7efe2e4502e2031548ae588cb8), izgrađenu koristeći Flutter okvir, koji prikazuje fabrikovane lokacije ukrajinskih vojnih regruta dok se povezuje na C2 server na h3152225216.ru.
Za Windows sisteme, napad počinje sa CivilDefense.exe (MD5: 7ef871a86d076dac67c2036d1bb24c39) koristeći “Pronsis Loader” za isporuku i SUNSPINNER i sekundarnog preuzimača “civildefensestarter.exe” (MD5: d36d303d2954cb4309d34c613747ce58).
To je dovelo do instaliranja PURESTEALER-a (MD5: b3cf993d918c2c61c7138b4b8a98b6bf) koji je komercijalni .NET-bazirani kradljivač informacija koji prikuplja “pretraživača kredencijala”, “ novčanike za kriptovalute ” i “podatke aplikacije za razmjenu poruka”.
Android vektor napada distribuira CivilDefensse.apk (MD5: 31cdae71f21e1fad7581b5f305a9d185), koji sadrži CRAXSRAT koji je komercijalni Android backdoor sposoban za “manipulaciju datotekama”, “presretanje SMS-a”, “krađu kredencijala” i “shvatanje uređaja”.
Za operativnu kontrolu i eksfiltraciju podataka, oba tipa zlonamjernog softvera nastavljaju da se povezuju na istu pozadinsku infrastrukturu putem “fu-laravel.onrender[.]com/api/markers.”
Ovo je dio planirane kampanje sajber špijunaže koja ima za cilj regrutaciju ukrajinske vojske nakon nedavnih promjena ukrajinskih zakona o mobilizaciji i uvođenja digitalnih vojnih isprava 2024. godine.
Izvor: CyberSecurityNews