与俄罗斯有关联的间谍组织UNC5812正利用恶意软件攻击乌克兰军

Google TAG和Mandiant观察到一个与俄罗斯有关联的组织，代号为UNC5812，通过Telegram频道“民防”（Civil Defense）使用Windows和Android恶意软件攻击乌克兰军方。该Telegram频道于2024年9月10日创建，目前拥有189名订阅者。该组织还通过2024年4月注册的网站civildefense[.]com.ua传播恶意软件。“民防”伪装成免费软件提供商，声称允许潜在的应征者查看和分享乌克兰军事征兵人员的众包位置。如果禁用了Google Play Protect，这些应用程序旨在感染Android设备的恶意软件。“如果在禁用Google Play Protect的情况下安装，这些程序会向受害者提供特定操作系统的商品恶意软件变体以及我们追踪为SUNSPINNER的诱饵地图应用程序。”Google发布的报告中写道。

UNC5812还协调了影响力活动，传播旨在削弱对乌克兰动员和军事征兵努力支持的叙事并征集相关内容。UNC5812可能正在购买已建立的乌克兰语Telegram频道的推广帖子，以将潜在受害者引向其资源。2024年9月18日，一个拥有超过8万名订阅者的导弹警报频道推广了“民防”Telegram频道。另一个新闻频道在10月8日仍在推广“民防”帖子，表明正在持续努力吸引更多乌克兰语社区。这些频道还提供赞助机会，表明UNC5812扩大影响范围的方法。

攻击者使用“民防”网站分发多个软件程序，这些程序一旦安装就会下载不同的恶意软件家族。该网站为Windows用户提供名为Pronsis Loader的下载器，此恶意软件启动攻击链，最终安装SUNSPINNER和信息窃取程序PURESTEALER。对于Android用户，恶意APK会安装CRAXSRAT后门程序的变体，有时还会与SUNSPINNER捆绑在一起。尽管该网站声称支持macOS和iPhone，但在分析期间仅提供Windows和Android有效载荷。

专家注意到“民防”网站使用社会工程战术欺骗用户安装APK外App Store。该网站FAQ声称这种方法保护用户匿名和安全，指向视频教程。这些视频指导用户在安装恶意软件后禁用Google Play Protect，这个功能检查有害应用程序的功能，并指导用户手动启用所有权限。

报告总结道：“UNC5812的活动高度反映俄罗斯在其网络能力中强调认知效果的努力，并强调了俄罗斯战争在乌克兰中的消息应用程序在恶意软件传递和其他网络维度中的重要角色。”

报告还提供了该活动的入侵指标。报告结论道：“我们判断，长期以来，Telegram将继续是战争期间信息来源的关键，因此几乎确保将继续是俄罗斯相关间谍和影响活动的主要vector.”