2024年9月、GoogleのThreat Intelligence Group(TAG) と Mandiant は、ロシアによるハイブリッド諜報および影響工作の一環として、「UNC5812」と名付けられたサイバー攻撃キャンペーンを発見しました。この活動は、「Civil Defense」という偽装アカウントを使って WindowsおよびAndroid向けのマルウェアを配布 し、さらに 反動員キャンペーン を展開することで、ウクライナ軍の徴兵活動を妨害する目的で実行されています。
キャンペーンの概要
UNC5812の活動では、ウクライナ軍の徴兵対象者向けに、偽の「無料ソフトウェア」を提供すると称して、Telegramの「Civil Defense」チャンネル とウェブサイト(civildefense[.]com[.]ua)から マルウェア を配布しています。
- ウェブサイト開設:2024年4月
- Telegramチャンネル作成:2024年9月
UNC5812は、ウクライナ国内の正規のTelegramチャンネルで広告を購入し、ユーザーを誘導する手法を使用しています。例えば、9月18日にはミサイル警報チャンネルで、10月8日にはウクライナ語のニュースチャンネルで宣伝を行うなど、影響力の拡大を図っています。
マルウェア配布と詐欺的な技術
Civil Defense のウェブサイトには、WindowsおよびAndroid向けの複数のプログラムが掲載され、インストールすると次のようなマルウェアがダウンロードされます。
Windows向けマルウェア
- Pronsis Loader:
オープンソースのJPHPプロジェクトを用い、PHPコードをJavaバイトコードに変換するローダー。これを通じて PURESTEALER が実行されます。 - PURESTEALER:
ブラウザからパスワード、クッキー、暗号資産ウォレットの情報を盗み出す.NET製のインフォスティーラー。
Android向けマルウェア
- CRAXSRAT:
ファイル操作、SMSや連絡先の取得、位置情報やキーストロークの監視を行うバックドア型マルウェア。 - SUNSPINNER:
ウクライナ軍の採用担当者の位置を表示する「マッピングアプリ」に偽装したアプリ。
不正アプリのインストールを促す手口
- 「Civil Defense」ウェブサイトのFAQには、Google Play以外でアプリを提供する理由として「匿名性とセキュリティの保護」を挙げ、ユーザーに不審を抱かせない工夫が施されています。
- また、ユーザーにGoogle Play Protectを無効化させる手順を示すビデオが用意され、不正アプリのインストールを巧妙に誘導しています。
反動員キャンペーンと影響工作
UNC5812は、単なるマルウェア配布にとどまらず、ウクライナの軍動員に反対する影響工作も展開しています。
- 「Civil Defense」チャンネルでは、軍の信用を失墜させるため、ユーザーに「不正な動員活動のビデオを投稿するよう呼びかけ」ています。
- 同グループの投稿は、他の親ロシア派のSNSエコシステムでも拡散されており、少なくとも1件ではUNC5812が共有したビデオが、翌日にはロシア大使館の南アフリカのX(旧Twitter)アカウントで再共有されました。
今回の攻撃の影響
UNC5812のキャンペーンは、サイバー攻撃と情報操作を組み合わせた高度なハイブリッド戦争の一環です。特に、偽装アプリによるデバイスへの侵入と、軍動員反対の影響工作を同時に展開することで、ウクライナの軍事活動と社会的な支持基盤を弱体化することを狙っています。
まとめ
「UNC5812」は、サイバー攻撃と影響操作を同時に行うロシアのハイブリッド戦争の典型例です。今回の事例から、ウクライナ軍の徴兵活動を妨害する目的で、標的型攻撃をTelegramやウェブサイトを通じて展開していることが明らかになりました。引き続き、こうした偽情報や不正アプリへの警戒が求められます。
