谷歌称俄罗斯利用 Android、Windows 恶意软件攻击乌克兰新兵

admin 2024年10月29日10:33:26评论17 views字数 3821阅读12分44秒阅读模式

导 

据谷歌威胁情报小组(由谷歌威胁分析小组 (TAG) 和 Mandiant 组成)的博客文章,俄罗斯网络间谍和影响活动一直针对乌克兰新兵,以破坏该国的征兵动员努力。

谷歌称俄罗斯利用 Android、Windows 恶意软件攻击乌克兰新兵

作为被追踪为 UNC5812 的混合网络行动的一部分,一个名为 Civil Defense 的 Telegram 角色一直在分发据称用于定位乌克兰军事招募人员的免费软件,但结果却是特定平台的恶意软件。

在未启用 Google Play Protect 的 Android 设备上,该软件会安装商品恶意软件和诱饵地图应用程序。Google 已观察到 Android 后门 CraxsRat 和 SunSpinner 恶意软件被安装到受害者手机。

CraxsRat 包含典型的 Android 后门功能,例如文件和短信管理、联系人和凭证盗窃以及监控击键、设备位置和音频输入的能力。

SunSpinner 是一款使用 Flutter 框架编写的诱饵应用程序,可以显示乌克兰军事招募人员的众包位置。虽然它提供了添加新标记的选项,但应用程序 JSON 文件中的所有标记都是在同一天添加的,这表明它们不是真正的用户输入。

Windows 用户受到了 Pronsis Loader 恶意软件下载程序的攻击,该程序启动了一条复杂的感染链,通向 SunSpinner 和 PureStealer 信息窃取程序。

PureStealer 用.NET 编写,旨在窃取浏览器数据(例如密码和 cookie)以及加密货币钱包和来自其他应用程序(包括消息和电子邮件客户端)的数据。

谷歌表示,该恶意软件通过 Telegram 频道和相关网站进行传播。该域名于 2024 年 4 月注册,但频道于 9 月创建,这表明该活动上个月才全面投入运营。

谷歌认为,UNC5812 一直在合法的乌克兰语 Telegram 频道上购买推广帖子,其中至少有两个帖子在 9 月和 10 月宣传“民防”,包括一个拥有超过 80,000 名订阅者的成熟频道。

谷歌称俄罗斯利用 Android、Windows 恶意软件攻击乌克兰新兵

Telegram 上的民防频道

谷歌解释说:“该活动的最终目的是让受害者导航到 UNC5812 控制的‘民防’网站,该网站宣传适用于不同操作系统的几种不同的软件程序。”

谷歌将这款应用称为“Sunspinner”,尽管这款应用提供了带标记的地图,但谷歌表示数据是伪造的。这款应用的唯一目的是隐藏在后台安装的恶意软件。

谷歌称俄罗斯利用 Android、Windows 恶意软件攻击乌克兰新兵

传播恶意软件的“民防”网站

民防网站声称,这款安卓应用是在 Google Play 之外发布的,以保护用户的匿名性和安全性。它还提供了用户如何禁用 Google Play Protect 以及如何在安装恶意软件后手动启用所有权限的说明。

除了传播恶意软件外,民防电报频道还从事影响活动,要求访问者和用户上传可能旨在抹黑乌克兰军方并宣传反动员言论的视频。

谷歌表示:“民防网站还穿插了乌克兰语的反动员图像和内容,其中包括一个专门的新闻专栏,重点报道所谓的不公正动员行为的案例。”

谷歌已将民防局的行动告知乌克兰国家当局,在全国范围内阻止了该网站的解析,并将已识别的域名和文件添加到安全浏览中。

“乌克兰推出国家数字军人身份证后,我们发现针对潜在军人招募的攻击日益突出,该身份证用于管理应服兵役人员的详细信息并促进招募。与 EUvsDisinfo 的研究一致,我们还继续观察到亲俄势力不断努力宣传破坏乌克兰征兵活动有关的信息。”谷歌指出。

新闻链接:

https://www.securityweek.com/google-russia-targeting-ukrainian-military-recruits-with-android-windows-malware/

谷歌称俄罗斯利用 Android、Windows 恶意软件攻击乌克兰新兵

今日安全资讯速递

APT事件

Advanced Persistent Threat

黑客利用 CloudScout 工具集窃取云服务会话 Cookie

https://thehackernews.com/2024/10/chinese-hackers-use-cloudscout-toolset.html

BeaverTail 恶意软件在针对开发人员的恶意 npm 软件包中再次出现

https://thehackernews.com/2024/10/beavertail-malware-resurfaces-in.html

谷歌称俄罗斯利用 Android、Windows 恶意软件攻击乌克兰新兵

https://www.securityweek.com/google-russia-targeting-ukrainian-military-recruits-with-android-windows-malware/

一般威胁事件

General Threat Incidents

Black Basta勒索软件组织依赖 Microsoft Teams 来获取目标网络的初始访问权限

https://securityaffairs.com/170311/cyber-crime/black-basta-ransomware-microsoft-teams.html

第三方身份:网络安全供应链中最薄弱的环节

https://securityaffairs.com/170324/security/third-party-identities-cybersecurity-supply-chain.html

RansomHub 团伙涉嫌袭击墨西哥13 个机场运营商

https://therecord.media/ransomhub-gang-behind-attack-mexican-airport-operator

达美航空起诉 CrowdStrike,称其技术故障导致数千架航班取消

https://www.securityweek.com/delta-sues-cybersecurity-firm-crowdstrike-over-tech-outage-that-canceled-flights/

犯罪团伙入侵意大利国家数据库转售被盗信息

https://securityaffairs.com/170328/data-breach/a-crime-ring-compromised-italian-state-databases.html

网络犯罪分子利用 Webflow 欺骗用户共享敏感登录凭据

https://thehackernews.com/2024/10/cybercriminals-use-webflow-to-deceive.html

新工具可绕过 Google Chrome 的新 Cookie 加密系统

https://www.bleepingcomputer.com/news/security/new-tool-bypasses-google-chromes-new-cookie-encryption-system/

荷兰警方查获 Redline 和 Meta 信息窃取恶意软件行动

https://www.bleepingcomputer.com/news/legal/redline-meta-infostealer-malware-operations-seized-by-police/

法国第二大 ISP Free 证实黑客入侵并窃取了客户个人信息

https://www.bleepingcomputer.com/news/security/free-frances-second-largest-isp-confirms-data-breach-after-leak/

漏洞事件

Vulnerability Incidents

微软已经针对最近披露的针对 Windows 更新过程的降级攻击推出缓解措施

https://www.securityweek.com/more-details-shared-on-windows-downgrade-attacks-after-microsoft-rolls-out-mitigations/

Nvidia 修补 Windows、Linux 图形驱动程序中的高严重性漏洞

https://www.securityweek.com/nvidia-patches-high-severity-flaws-in-windows-linux-graphics-drivers/

思科发布紧急修复程序,修复 ASA 和 FTD 软件中遭主动攻击的漏洞

https://thehackernews.com/2024/10/cisco-issues-urgent-fix-for-asa-and-ftd.html

西门子和施耐德电气产品中发现严重漏洞

https://thecyberexpress.com/cyble-ics-vulnerability-report/

研究人员发现 Wi-Fi 联盟测试套件中存在命令注入漏洞

https://thehackernews.com/2024/10/researchers-discover-command-injection.html

新的 Windows 驱动程序签名绕过允许安装内核 rootkit

https://www.bleepingcomputer.com/news/security/new-windows-driver-signature-bypass-allows-kernel-rootkit-installs/

谷歌称俄罗斯利用 Android、Windows 恶意软件攻击乌克兰新兵

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

原文始发于微信公众号(军哥网络安全读报):谷歌称俄罗斯利用 Android、Windows 恶意软件攻击乌克兰新兵

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月29日10:33:26
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   谷歌称俄罗斯利用 Android、Windows 恶意软件攻击乌克兰新兵https://cn-sec.com/archives/3328049.html

发表评论

匿名网友 填写信息