Cibler les utilisateurs de Telegram

Les opérations de diffusion de logiciels malveillants de l’UNC5812 sont menées à la fois via un canal Telegram@civildefense_com_ua contrôlé par l’acteur et un site web hébergé à l’adresse civildefense[.]com.ua. Le site web associé a été enregistré en avril 2024, mais le canal Telegram n’a été créé qu’au début du mois de septembre 2024, date à laquelle Mandiant estime que la campagne de UNC5812 est devenue pleinement opérationnelle. Pour conduire les victimes potentielles vers ces ressources contrôlées par des acteurs, Mandiant évalue que UNC5812 promeut son canal en achetant des publicités dans des canaux Telegram légitimes et établis en langue ukrainienne. Le 18 septembre 2024, une chaîne légitime comptant plus de 80 000 abonnés et dédiée aux alertes aux missiles a été observée en train de promouvoir la chaîne Telegram et le site web « Civil Defense » auprès de ses abonnés.
• Une chaîne d’information ukrainienne supplémentaire faisant la promotion des messages de Civil Defense pas plus tard que le 8 octobre, ce qui indique que la campagne est probablement toujours activement à la recherche de nouvelles communautés de langue ukrainienne en vue d’un engagement ciblé.
• Les chaînes où les posts de la « Défense civile » ont été promus annoncent la possibilité de s’adresser à leurs administrations pour des opportunités de parrainage. Mandiant soupçonne qu’il s’agit du vecteur probable que l’UNC5812 utilise pour approcher les canaux légitimes respectifs afin d’accroître la portée de l’opération.

Promotion de la défense civile dans les communautés d’alerte et d’information sur les missiles en langue ukrainienne.

Le but ultime de la campagne est d’amener les victimes à se rendre sur le site web « Civil Defense » contrôlé par l’UNC5812, qui fait la promotion de plusieurs logiciels pour différents systèmes d’exploitation. Une fois installés, ces programmes entraînent le téléchargement de diverses familles de logiciels malveillants de base.
• Pour les utilisateurs de Windows, le site web propose un téléchargeur identifié publiquement comme Pronsis Loader, écrit en PHP et compilé en bytecode de machine virtuelle Java (JVM) à l’aide du projet open source JPHP. Lorsqu’il est exécuté, Prosnis Loader lance une chaîne de diffusion de logiciels malveillants alambiquée, livrant finalement SUNSPINNER et un voleur d’informations sur les marchandises communément appelé PURESTEALER.
• Pour les utilisateurs d’Android, le fichier APK malveillant tente d’installer une variante de la porte dérobée Android CRAXSRAT disponible dans le commerce. Différentes versions de cette charge utile ont été observées, notamment une variante contenant SUNSPINNER en plus de la charge utile CRAXSRAT.
Bien que le site web de la défense civile annonce également une prise en charge de macOS et des iPhones, seules les charges utiles Windows et Android étaient disponibles au moment de l’analyse.

Notamment, le site Web de la défense civile contient également une forme non conventionnelle d’ingénierie sociale conçue pour devancer les soupçons des utilisateurs concernant la livraison d’APK en dehors de l’App Store et justifier les autorisations étendues requises pour l’installation de CRAXSRAT.
• La FAQ du site web contient une justification de l’hébergement de l’application Android en dehors de l’App Store, suggérant qu’il s’agit d’un effort pour « protéger l’anonymat et la sécurité » de ses utilisateurs, et les dirigeant vers un ensemble d’instructions vidéo d’accompagnement.
Les instructions vidéo en ukrainien guident ensuite les victimes sur la manière de désactiver Google Play Protect, le service utilisé pour vérifier que les applications n’ont pas de fonctionnalités nuisibles lorsqu’elles sont installées sur les appareils Android, ainsi que pour activer manuellement toutes les autorisations une fois que le logiciel malveillant a été installé avec succès.

Opération d’influence anti-mobilisation

Parallèlement à ses efforts pour diffuser des logiciels malveillants et accéder aux appareils des recrues militaires potentielles, l’UNC5812 mène également des activités d’influence visant à saper les efforts de mobilisation et de recrutement militaire de l’Ukraine. Le canal Telegram du groupe est activement utilisé pour solliciter les visiteurs et les abonnés à télécharger des vidéos d’« actions injustes des centres de recrutement territoriaux », un contenu que Mandiant juge susceptible d’être destiné à une exposition ultérieure pour renforcer les récits anti-mobilisation de l’UNC5812 et discréditer l’armée ukrainienne. En cliquant sur le bouton « Envoyer le matériel » (ukrainien : Надіслати матеріал), on ouvre un fil de discussion avec un compte https://t[.]me/UAcivildefenseUA contrôlé par l’attaquant.
• Le site web de la défense civile est également parsemé d’images et de contenu anti-mobilisation en langue ukrainienne, y compris une section d’actualités dédiée à la mise en évidence de prétendus cas de pratiques de mobilisation injustes.
• Les contenus antimobilisation postés de manière croisée sur le site web du groupe et sur la chaîne Telegram semblent provenir d’écosystèmes de médias sociaux pro-russes plus larges. Dans un cas au moins, une vidéo partagée par UNC5812 a été partagée un jour plus tard par le compte X de l’ambassade de Russie en Afrique du Sud.

Le Telegram de l’UNC5812 et un compte X du gouvernement russe ont partagé la même vidéo à proximité l’un de l’autre, ce qui met en évidence leur intérêt commun pour les récits de lutte contre la mobilisation.

Malware Analysis

L’UNC5812 exploite deux chaînes uniques de diffusion de logiciels malveillants pour les appareils Windows et Android qui sont diffusés à partir du site Web du groupe hébergé à l’adresse civildefense[.]com[.]ua. Ces chaînes de diffusion distinctes ont en commun la diffusion parallèle d’une application de cartographie leurre appelée SUNSPINNER, qui affiche aux utilisateurs une carte indiquant les emplacements supposés des recrues de l’armée ukrainienne à partir d’un serveur de commandement et de contrôle (C2) contrôlé par l’acteur.

SUNSPINNER

SUNSPINNER (MD5 : 4ca65a7efe2e4502e2031548ae588cb8) est une application d’interface utilisateur graphique (GUI) de leurre écrite à l’aide du framework Flutter et compilée pour les environnements Windows et Android. Lorsqu’il est exécuté, SUNSPINNER tente de résoudre un nouveau nom d’hôte de « serveur dorsal » à partir de http://h315225216.nichost[.]ru/itmo2020/Student/map_markers/mainurl.json , suivi d’une demande de marqueurs de carte à partir de https://fu-laravel.onrender[.]com/api/markers qui sont ensuite rendus sur l’interface graphique de l’application.

Conformément à la fonctionnalité annoncée sur le site web de la défense civile, SUNSPINNER est capable d’afficher des marqueurs provenant de la communauté avec les emplacements des recruteurs militaires ukrainiens, avec une option permettant aux utilisateurs d’ajouter leurs propres marqueurs. Toutefois, bien qu’elle possède la fonctionnalité limitée requise pour permettre aux utilisateurs de s’enregistrer et d’ajouter des marqueurs, la carte affichée ne semble pas contenir de véritables données de l’utilisateur. Tous les marqueurs présents dans le fichier JSON extrait de l’infrastructure C2 de SUNSPINNER ont été ajoutés le même jour par le même utilisateur.

Windows - Pronsis Loader à PURESTEALER

La charge utile Windows téléchargée à partir du site Web de la défense civile, CivilDefense.exe (MD5 : 7ef871a86d076dac67c2036d1bb24c39), est une version personnalisée de Pronsis Loader, un logiciel malveillant récemment découvert et exploité principalement par des acteurs de la menace motivés par des considérations financières.

Pronsis Loader est utilisé pour récupérer le binaire leurre SUNSPINNER et un téléchargeur de seconde étape « civildefensestarter.exe » (MD5 : d36d303d2954cb4309d34c613747ce58), lançant une chaîne de livraison en plusieurs étapes à l’aide d’une série d’archives auto-extractibles, qui exécute finalement PURESTEALER sur l’appareil de la victime. Le téléchargeur de deuxième étape est écrit en PHP et est compilé en bytecode de machine virtuelle Java (JVM) à l’aide du projet open-source JPHP, puis construit en tant que fichier exécutable Windows. Ce fichier est automatiquement exécuté par le programme d’installation de CivilDefense.

La charge utile finale est PURESTEALER (MD5 : b3cf993d918c2c61c7138b4b8a98b6bf), un voleur d’informations de base fortement obscurci écrit en .NET qui est conçu pour voler des données de navigateur, telles que des mots de passe et des cookies, des portefeuilles de crypto-monnaie, et à partir de diverses autres applications telles que les clients de messagerie et de courrier électronique. PURESTEALER est proposé à la vente par « Pure Coder Team » à des prix allant de 150 $ pour un abonnement mensuel à 699 $ pour une licence à vie.

Android - CraxsRAT

Le fichier Android Package (APK) téléchargé depuis le site web de la défense civile « CivilDefensse.apk » (MD5 : 31cdae71f21e1fad7581b5f305a9d185) est une variante de la porte dérobée Android CRAXSRAT disponible dans le commerce. CRAXSRAT offre des fonctionnalités typiques d’une porte dérobée Android standard, notamment la gestion des fichiers, la gestion des SMS, la collecte de contacts et d’informations d’identification, ainsi qu’une série de capacités de surveillance de l’emplacement, de l’audio et des frappes au clavier. Comme PURESTEALER, il est également disponible à la vente sur des forums clandestins.

L’échantillon Android distribué au moment de l’analyse n’affichait qu’un écran de démarrage avec le logo « Civil Defense ». Cependant, un autre échantillon identifié (MD5 : aab597cdc5bc02f6c9d0d36ddeb7e624) contient la même application leurre SUNSPINNER que dans la chaîne de distribution Windows. Lorsqu’elle est ouverte, cette version demande à l’utilisateur l’autorisation Android REQUEST_INSTALL_PACKAGES qui, si elle est accordée, télécharge la charge utile CRAXSRAT à partir de http://h315225216.nichost[.]ru/itmo2020/Student/map_markers/CivilDefense.apk.

REQUEST_INSTALL_PACKAGES
Protéger les utilisateurs

Google surveille également en permanence les logiciels espions Android, et déploie et met constamment à jour les protections de Google Play Protect, qui offre aux utilisateurs une protection à l’intérieur et à l’extérieur de Google Play, en vérifiant que les appareils ne contiennent pas d’applications potentiellement nuisibles, quelle que soit la source d’installation. Notamment, le site web de la défense civile de l’UNC5812 comprenait spécifiquement un contenu d’ingénierie sociale et des instructions vidéo détaillées sur la manière dont l’utilisateur ciblé devait désactiver Google Play Protect et activer manuellement les autorisations Android requises par CRAXSRAT pour pouvoir fonctionner. Safe Browsing protège également les utilisateurs de Chrome sur Android en leur montrant des avertissements avant qu’ils ne visitent des sites dangereux. L’infrastructure d’analyse des applications protège Google Play et permet à Verify Apps de protéger davantage les utilisateurs qui installent des applications en dehors de Google Play.

Mandiant a également fait part de ses conclusions aux autorités nationales ukrainiennes, qui ont pris des mesures pour empêcher la campagne d’atteindre son but en bloquant la résolution du site web « Civil Defense » contrôlé par l’acteur au niveau national.

Résumé

L’opération hybride d’espionnage et d’information menée par l’UNC5812 contre des recrues potentielles de l’armée ukrainienne s’inscrit dans le cadre d’un intérêt opérationnel accru de la part des acteurs russes de la menace à la suite des changements apportés aux lois ukrainiennes sur la mobilisation nationale en 2024. En particulier, Mandiant a constaté que le ciblage des recrues militaires potentielles a pris de l’importance à la suite du lancement de l’identification militaire numérique nationale de l’Ukraine, utilisée pour gérer les détails des personnes soumises au service militaire et pour stimuler le recrutement. Conformément aux recherches menées par EUvsDisinfo, Mandiant continue également à observer des efforts persistants de la part d’acteurs d’influence pro-russes pour promouvoir des messages sapant l’effort de mobilisation de l’Ukraine et semant la méfiance du public à l’égard des responsables qui le mènent.

D’un point de vue technique, la campagne de l’UNC5812 est tout à fait caractéristique de l’importance que la Russie accorde à l’obtention d’un effet cognitif par le biais de ses capacités cybernétiques, et met en évidence le rôle prépondérant que les applications de messagerie continuent de jouer dans la diffusion de logiciels malveillants et dans d’autres dimensions cybernétiques de la guerre menée par la Russie en Ukraine. Mandiant estime que tant que Telegram restera une source d’information essentielle pendant la guerre, il est presque certain qu’il restera un vecteur principal d’activités cybernétiques pour toute une série d’activités d’espionnage et d’influence liées à la Russie.