El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) ha revelado que un actor de amenazas al que rastrea como UAC-0125 está aprovechando el servicio Cloudflare Workers para engañar al personal marcial del país para que descargue malware disfrazado de Army+, una aplicación móvil presentada por el Tarea de Defensa en agosto de 2024 en un esfuerzo por hacer que las fuerzas armadas se queden sin papel.
A los usuarios que visitan los sitios web falsos de Cloudflare Workers se les solicita que descarguen un ejecutable de Windows de Army+, que se crea utilizando Nullsoft Scriptable Install System (NSIS), una útil de código campechano utilizada para crear instaladores para el sistema activo.
Al cascar el binario se muestra un archivo señuelo que se iniciará, al mismo tiempo que se ejecuta un script de PowerShell diseñado para instalar OpenSSH en el host infectado, producir un par de claves criptográficas RSA, ampliar la esencia pública al archivo «authorized_keys» y transmitir la esencia privada. esencia para un servidor controlado por un atacante que utiliza la red de anonimato TOR.
El objetivo final del ataque es permitir que el adversario obtenga acercamiento remoto a la máquina de la víctima, dijo CERT-UA. Actualmente no se sabe cómo se propagan estos enlaces.
La agencia señaló por otra parte que UAC-0125 está asociado con otro categoría llamado UAC-0002, mejor conocido como APT44, FROZENBARENTS, Sandworm, Seashell Blizzard y Voodoo Bear, un categoría de amenaza persistente vanguardia (APT) con vínculos con la Dispositivo 74455 adentro. la Dirección Principal del Estado Anciano de las Fuerzas Armadas de la Confederación de Rusia (GRU).
A principios de este mes, Fortra reveló que ha observado una «tendencia creciente en el exageración de servicios legítimos», con malos actores que utilizan los trabajadores y páginas de Cloudflare para introducir páginas falsas de inicio de sesión de Microsoft 365 y demostración humana para robar las credenciales de los usuarios.
La compañía dijo que ha sido testificador de un aumento del 198% en los ataques de phishing en las páginas de Cloudflare, pasando de 460 incidentes en 2023 a 1370 incidentes a mediados de octubre de 2024. Del mismo modo, los ataques de phishing que utilizan Cloudflare Workers aumentaron un 104%, pasando de 2447 incidentes. en 2023 a 4.999 incidentes hasta la data.
El acontecimiento se produce cuando el Consejo Europeo impuso sanciones contra 16 personas y tres entidades que, según dijo, eran responsables de «las acciones desestabilizadoras de Rusia en el extranjero».
Esto incluye la Dispositivo GRU 29155, por su décimo en asesinatos, atentados y ataques cibernéticos en el extranjero en toda Europa, el Groupe Panafricain pour le Commerce et l’Investissement, una red de desinformación que lleva a extremidad operaciones encubiertas de influencia prorrusas en la República Centroafricana y Burkina Faso. y African Initiative, una agencia de noticiero que amplificó la propaganda y la desinformación rusas en África.
Las sanciones todavía apuntan a Doppelganger, una red de desinformación liderada por Rusia conocida por difundir narrativas en apoyo de la flagrante combate de atentado de Rusia en Ucrania, manipular la opinión pública contra el país y excoriar el apoyo occidental.
Para ello, Sofia Zakharova, jefa del unidad de la Oficina del Presidente de la Confederación Rusa para el Mejora de las Tecnologías de la Información y las Comunicaciones y la Infraestructura de Comunicaciones, y Nikolai Tupikin, director y fundador de GK Struktura (todavía conocido como Company Group Structura), han han sido objeto de congelaciones de activos y prohibiciones de delirar.
Tupikin todavía fue sancionado por la Oficina de Control de Activos Extranjeros (OFAC) del Unidad del Fortuna de Estados Unidos en marzo de 2024 por participar en campañas de influencia maligna extranjera.