Главная страница » IOC
0
4 месяца
IOC

UNC5812 Operation IOCs

security

В сентябре 2024 года группа аналитики угроз Google выявила операцию UNC5812, которая использовала вредоносное ПО для компрометации украинских новобранцев под видом Telegram-персоны под названием «Гражданская оборона». Через это лицо UNC5812 распространяет вредоносное ПО для Android и Windows, пропагандирует антиукраинские идеи и побуждает новобранцев делиться конфиденциальной информацией о предполагаемых методах вербовки в армию.

UNC5812 Operation

Вредоносные программы UNC5812 распространяются через канал Telegram и созданный группой веб-сайт, где «Гражданская оборона» рекламирует бесплатные программы для мониторинга украинских военных вербовщиков. Чтобы охватить более широкую аудиторию, UNC5812, как сообщается, платит за продвижение в легальных украиноязычных Telegram-каналах, что приводит потенциальных жертв на сайт с вредоносным ПО. Полезная нагрузка вредоносного ПО, включая Pronsis Loader для Windows (который внедряет похитителя информации PURESTEALER) и Android-бэкдор CRAXSRAT, обеспечивает компрометацию конфиденциальных данных путем кражи учетных данных и другой информации у жертв.
В этой операции наряду с техническими тактиками используются и психологические: пользователям Android предлагается отключить Google Play Protect, чтобы избежать обнаружения.

В дополнение к вредоносному ПО UNC5812 проводит операции влияния, размещая антимобилизационный контент, чтобы вызвать недоверие к украинской практике вербовки. Эта гибридная стратегия подчеркивает, что Россия продолжает делать упор на когнитивное воздействие в украинском конфликте, а приложения для обмена сообщениями, такие как Telegram, служат важнейшими векторами как для доставки вредоносных программ, так и для проведения кампаний влияния.

Indicators of Compromise

IPv4

  • 185.169.107.44
  • 206.71.149.194

URLs

  • t.me/civildefense_com_ua
  • t.me/UAcivildefenseUA

Domains

  • civildefense.com.ua
  • fu-laravel.onrender.com
  • h315225216.nichost.ru

MD5

  • 31cdae71f21e1fad7581b5f305a9d185
  • aab597cdc5bc02f6c9d0d36ddeb7e624
  • b3cf993d918c2c61c7138b4b8a98b6bf
  • d36d303d2954cb4309d34c613747ce58
  • e98ee33466a270edc47fdd9faf67d82e
Комментарии: 0
Похожие записи
0
5 месяцев
IOC

Pronsis Loader IOCs

security
Команда аналитиков угроз Trustwave обнаружила новое вредоносное ПО под названием Pronsis Loader, поставляющее основную полезную нагрузку Lumma Stealer и Latrodectus.
0
7 месяцев
IOC

OilRig (APT42) APT IOCs

security
Исследователи из Группы анализа угроз (TAG) Google установили, что злоумышленники APT42 (OilRig) стоят за целенаправленными фишинговыми кампаниями против Израиля и США.