Het Computer Emergency Response Team van Oekraïne (CERT-UA) heeft onthuld dat een bedreigingsacteur die het volgt als UAC-0125 de dienst Cloudflare Workers gebruikt om militair personeel in het land te misleiden om malware te downloaden, vermomd als Army+, een mobiele app die werd geïntroduceerd door het ministerie van Defensie in augustus 2024 in een poging de strijdkrachten papierloos te laten werken.
Gebruikers die de nep-Cloudflare Workers-websites bezoeken, worden gevraagd een Windows-uitvoerbaar bestand van Army+ te downloaden, dat is gemaakt met behulp van Nullsoft Scriptable Install System (NSIS), een open-sourcetool die wordt gebruikt om installatieprogramma’s voor het besturingssysteem te maken.
Als u het binaire bestand opent, wordt een lokbestand weergegeven dat moet worden gestart, terwijl ook een PowerShell-script wordt uitgevoerd dat is ontworpen om OpenSSH op de geïnfecteerde host te installeren, een paar cryptografische RSA-sleutels te genereren, de openbare sleutel aan het bestand “authorized_keys” toe te voegen en de privésleutels te verzenden sleutel naar een door een aanvaller bestuurde server die gebruikmaakt van het TOR-anonimiteitsnetwerk.
Het einddoel van de aanval is om de tegenstander op afstand toegang te geven tot de machine van het slachtoffer, aldus CERT-UA. Het is momenteel niet bekend hoe deze links worden verspreid.
De dienst merkte verder op dat UAC-0125 geassocieerd is met een andere cluster genaamd UAC-0002, beter bekend als APT44, FROZENBARENTS, Sandworm, Seashell Blizzard en Voodoo Bear, een geavanceerde persistente dreigingsgroep (APT) die banden heeft met eenheid 74455 binnen het hoofddirectoraat van de generale staf van de strijdkrachten van de Russische Federatie (GRU).
Eerder deze maand onthulde Fortra dat het een “stijgende trend in misbruik van legitieme diensten” heeft waargenomen, waarbij kwaadwillenden gebruik maken van Cloudflare Workers en Pages om valse Microsoft 365-inlog- en menselijke verificatiepagina’s te hosten om de inloggegevens van gebruikers te stelen.
Het bedrijf zegt getuige te zijn geweest van een toename van 198% in phishing-aanvallen op Cloudflare Pages, van 460 incidenten in 2023 naar 1.370 incidenten medio oktober 2024. Ook het aantal phishing-aanvallen waarbij gebruik wordt gemaakt van Cloudflare Workers is met 104% gestegen, van 2.447 incidenten. in 2023 tot 4.999 incidenten tot nu toe.
Deze ontwikkeling komt op het moment dat de Europese Raad sancties oplegde aan zestien individuen en drie entiteiten die volgens hem verantwoordelijk waren voor “de destabiliserende acties van Rusland in het buitenland”.
Dit omvat GRU-eenheid 29155, vanwege zijn betrokkenheid bij buitenlandse moorden, bomaanslagen en cyberaanvallen in heel Europa, Groupe Panafricain pour le Commerce et l’Investissement, een desinformatienetwerk dat pro-Russische geheime beïnvloedingsoperaties uitvoert in de Centraal-Afrikaanse Republiek en Burkina Faso en African Initiative, een persbureau dat Russische propaganda en desinformatie in Afrika versterkte.
De sancties zijn ook gericht tegen Doppelganger, een door Rusland geleid desinformatienetwerk dat bekend staat om het verspreiden van verhalen en ter ondersteuning van de Russische agressieoorlog tegen Oekraïne, het manipuleren van de publieke opinie tegen het land en het uithollen van de westerse steun.
Daartoe hebben Sofia Zakharova, afdelingshoofd van het kabinet van de president van de Russische Federatie voor de ontwikkeling van informatie- en communicatietechnologieën en communicatie-infrastructuur, en Nikolai Tupikin, hoofd en oprichter van GK Struktura (ook bekend als Company Group Structura), onderworpen aan bevriezing van tegoeden en reisverboden.
Tupikin werd in maart 2024 ook gesanctioneerd door het Office of Foreign Assets Control (OFAC) van het Amerikaanse ministerie van Financiën wegens deelname aan kwaadaardige buitenlandse beïnvloedingscampagnes.