러시아 위협 그룹 'UNC5812'가 우크라이나 군 병역 모집 대상자들을 향해 윈도우와 안드로이드 맬웨어를 이용한 혼합 스파이 및 영향력 캠페인을 진행한 것이 발견되었습니다. Google의 위협 정보에 따르면, 이 캠페인은 "민방위"라는 가명과 웹사이트, 전용 텔레그램 채널을 이용해 가짜 병역 회피 앱인 "Sunspinner"를 통해 맬웨어를 유포하였습니다. 이 캠페인은 각 플랫폼에 맞는 독특한 맬웨어를 이용해 공격자들에게 데이터 도난 및 실시간 스파이 기능을 제공하였습니다.
"민방위"라는 가명은 우크라이나의 민방위나 정부 기관을 모방하려는 시도가 아니라, 우크라이나 친화적인 합법적인 조직으로서 우크라이나 징집병에게 유용한 소프트웨어 도구와 조언을 제공한다는 것을 홍보하였습니다. 이 가명은 텔레그램 채널과 웹사이트를 이용해 잠재적 피해자들과 접촉하고, 우크라이나의 병역 모집 및 동원 노력에 반대하는 내용을 전달하였습니다. Google이 이 캠페인을 발견했을 때, 텔레그램의 "민방위" 채널에는 80,000명의 회원이 있었습니다.
가짜 앱은 윈도우와 안드로이드 다운로드를 제공하며, iOS와 macOS를 곧 추가할 것을 약속하였습니다. 윈도우 다운로드는 Pronsis Loader라는 맬웨어 로더를 설치하며, 이는 UNC5812의 서버에서 추가적인 악성 페이로드를 가져옵니다. 안드로이드에서는 다운로드된 APK 파일이 CraxsRAT이라는 상업용 백도어를 설치합니다. 이 앱은 사용자들을 속여 Google Play Protect를 비활성화하고, 위험한 권한을 수동으로 부여하도록 만듭니다.
요약
- 러시아 위협 그룹 'UNC5812'가 우크라이나 군 병역 모집 대상자들을 향해 윈도우와 안드로이드 맬웨어를 이용한 혼합 스파이 및 영향력 캠페인을 진행한 것이 Google에 의해 발견되었다.
- 이 캠페인은 "민방위"라는 가명을 이용해 우크라이나 친화적인 조직으로서 우크라이나 징집병에게 유용한 소프트웨어 도구와 조언을 제공한다는 것을 홍보하였다.
- 가짜 앱은 윈도우와 안드로이드 다운로드를 제공하며, 이를 통해 맬웨어를 설치하고, 사용자들을 속여 Google Play Protect를 비활성화하고, 위험한 권한을 수동으로 부여하도록 만든다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.