ロシアがウクライナ軍の新兵へAndroidとWindowsのマルウェアを活用しサイバー攻撃

セキュリティニュース

投稿日時: 更新日時:

ロシアがウクライナ軍の新兵へAndroidとWindowsのマルウェアを活用しサイバー攻撃

2024年9月、GoogleのThreat Intelligence Group(TAGおよびMandiantを含む)は、「UNC5812」と名付けられたロシアのハイブリッド諜報および影響工作を特定しました。この作戦では、「Civil Defense」という偽のTelegramアカウントを用い、WindowsおよびAndroid向けのマルウェアを配布する一方、反動員キャンペーンを展開しています。

このキャンペーンの目的は、ウクライナ軍への徴兵を妨害することにあり、ユーザーのデバイスへの侵入と、軍動員への支持を弱体化させるためのメッセージ発信を組み合わせた活動が行われています

キャンペーンの概要

UNC5812として追跡されているロシアのハイブリッド戦争活動の一環として、Civil Defenseという名のTelegramの人物が、徴兵対象者がウクライナ軍の徴兵・兵士募集担当者を見つけるための無料ソフトウェアと称するソフトウェアを配布していたが、実際にはプラットフォーム固有のマルウェアであることが判明した。

Telegramを利用した標的型サイバー攻撃

「Civil Defense」は、Telegramのチャンネル(@civildefense_com_ua)およびウェブサイト(civildefense[.]com[.]ua)を使って、マルウェアを配布しています。

  • ウェブサイトの開設:2024年4月
  • Telegramチャンネルの作成:2024年9月

UNC5812は、ウクライナ国内の正規のTelegramチャンネル宣伝広告を購入し、標的ユーザーを誘導する方法をとっています。9月18日には8万人以上のフォロワーを持つミサイル警報のチャンネルを紹介し、10月8日にもウクライナ語ニュースチャンネルで宣伝が行われました。これにより、UNC5812はさらなる影響力を広げようとしています。

「Civil Defense」「民間防衛」の投稿が宣伝されているチャンネル

「Civil Defense」「民間防衛」の投稿が宣伝されているチャンネル

画像:Google Threat Intelligence Groupレポート

反動員キャンペーンと影響工作

UNC5812は、マルウェア配布だけでなく、ウクライナの軍動員に反対する影響工作も展開しています。

  • 「Civil Defense」のTelegramチャンネルでは、「不正な動員活動のビデオを投稿するよう呼びかけ」、軍の信用を失墜させることを狙っています。
  • 同グループのウェブサイトとテレグラムチャンネルにクロスポストされた反動派のコンテンツは、より広範な親ロシア派ソーシャルメディアのエコシステムから発信されたものと思われ、少なくとも1つの例では、UNC5812が共有したビデオが、翌日にロシア大使館によって南アフリカのXアカウントで共有されていました

反動員キャンペーンと影響工作

画像:Google Threat Intelligence Groupレポート

マルウェアの配布手法

「Civil Defense」のウェブサイトには、WindowsおよびAndroid向けの複数のプログラムが掲載されています。しかし、これらをインストールすると、表向きのアプリと共に市販の Android バックドアマルウェア「 CRAXSRAT」などがダウンロードされます。

注目すべきことに、Civil Defense の Web サイトには分析時点では Windows と Android のペイロードのみが利用可能で、App Store 外での APK 配信に対するユーザーの疑念を未然に防ぐ為に、

ウェブサイトの FAQ には、Android アプリケーションが App Store の外でホストされている理由について無理のある説明が記載されており、これはユーザーの「匿名性とセキュリティを保護する」ための取り組みであると示唆し、付属のビデオによる説明にユーザーを誘導しています。

上記の通り、「Civil Defense」のウェブサイトにはCRAXSRAT のインストールに必要な広範な権限を正当化するために設計された、型破りなソーシャル エンジニアリングも含まれていました。

Civil DefenseのWebサイト

画像:Google Threat Intelligence Groupレポート

Windows向け:Pronsis Loader と PURESTEALER

  • Pronsis Loader:オープンソースのJPHPプロジェクトを使用し、PHPコードをJavaバイトコードにコンパイルしたローダー。これにより、最終的にPURESTEALERが実行されます。
  • PURESTEALER:ブラウザのパスワード、クッキー、暗号資産ウォレット情報を盗み出す.NET製のインフォスティーラー。

Android向け:CRAXSRAT と SUNSPINNER

  • CRAXSRAT:ファイル管理、SMSや連絡先の取得、位置情報やキーストロークの監視が可能なバックドア型マルウェア。
  • SUNSPINNER:ユーザーにウクライナ軍の採用スタッフの位置を示すマッピングアプリとして見せかけた偽装アプリ。

「Civil Defense」のウェブサイトには、AndroidアプリがGoogle Play以外の場所で提供される理由を説明するFAQが掲載されています。ユーザーに対し、Google Play Protectを無効化する手順を示すビデオも公開し、不正なアプリのインストールを促しています。