러시아 연계 해킹 그룹 UNC5812, 우크라이나 군대를 악성코드로 공격
-
Google TAG 및 Mandiant는 러시아와 연계된 것으로 추정되는 UNC5812 그룹이 텔레그램 채널 "시민방위대(Civil Defense)"를 통해 윈도우 및 안드로이드 악성코드로 우크라이나 군대를 표적으로 공격하는 것을 관찰했습니다.
해당 텔레그램 채널은 2024년 9월 10일에 생성되었으며 현재 구독자 수는 189명입니다. 이 그룹은 2024년 4월 등록된 웹사이트 civildefense[.]com.ua를 통해서도 악성코드를 배포했습니다.
"시민방위대"는 잠재적인 징집 대상자들이 우크라이나 군 모집 담당자의 위치를 크라우드소싱하여 보고 공유할 수 있도록 도움을 주는 무료 소프트웨어 프로그램 제공자로 위장합니다. 이 앱들은 Google Play Protect가 비활성화된 경우 안드로이드 기기에 몰래 설치되어 악성코드를 감염시킵니다.
Google이 발표한 보고서는 "Google Play Protect가 비활성화된 상태에서 설치되면, 이 프로그램들은 희생자에게 운영체제별 일반적인 악성코드 변종과 함께 우리가 추적하는 SUNSPINNER라는 가짜 지도 응용 프로그램을 설치합니다."라고 언급합니다.
UNC5812 그룹은 또한 우크라이나의 동원 및 군사 모집 노력에 대한 지원을 약화시키는 목표로 선동 캠페인을 조율하여 이야기를 퍼뜨리고 콘텐츠를 요청했습니다.
UNC5812는 잠재적인 공격 대상자들을 자신들의 리소스로 유도하기 위해 유명한 우크라이나어 텔레그램 채널에서 홍보 게시물을 구매하는 것으로 보입니다. 2024년 9월 18일, 구독자 수 8만 명 이상인 미사일 경보 채널은 "시민방위대" 텔레그램 채널을 홍보했습니다. 또 다른 뉴스 채널은 10월 8일 최근까지 시민방위대 게시물을 홍보하며, 더 많은 우크라이나어 커뮤니티 참여를 위한 지속적인 노력을 보여줍니다. 이 채널들은 또한 스폰서십 기회를 제공하여 UNC5812가 도달 범위를 확대하는 접근 방식을 나타냅니다.
위협 행위자들은 시민방위대 웹사이트를 사용하여 설치되면 서로 다른 악성코드 패밀리를 다운로드하는 여러 소프트웨어 프로그램을 배포합니다. 이 사이트는 Windows 사용자에게 Pronsis Loader라는 다운로더를 제공하며, 이 악성코드는 공격 체인을 시작하여 cuối cùng (cuối cùng = ultimately) SUNSPINNER와 PURESTEALER 정보 도용 프로그램을 설치합니다. 안드로이드 사용자의 경우 악성 APK는 때때로 SUNSPINNER와 함께 번들로 제공되는 CRAXSRAT 백door 변종을 설치합니다. 이 사이트는 macOS 및 iPhone을 지원한다고 주장하지만 분석 당시에는 Windows 및 Android 페이로드만 사용 가능했습니다.
https://securityaffairs.com/170346/cyber-warfare-2/unc5812-targets-ukraines-military-malware.html