El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) ha revelado que un actor de amenazas al que rastrea como UAC-0125 está aprovechando el servicio Cloudflare Workers para engañar al personal militar del país para que descargue malware disfrazado de Army+, una aplicación móvil presentada por el Ministerio de Defensa en agosto de 2024 en un esfuerzo por hacer que las fuerzas armadas se queden sin papel.
A los usuarios que visitan los sitios web falsos de Cloudflare Workers se les solicita que descarguen un ejecutable de Windows de Army+, que se crea utilizando Nullsoft Scriptable Install System (NSIS), una herramienta de código abierto utilizada para crear instaladores para el sistema operativo.
Al abrir el binario se muestra un archivo señuelo que se iniciará, al mismo tiempo que se ejecuta un script de PowerShell diseñado para instalar OpenSSH en el host infectado, generar un par de claves criptográficas RSA, agregar la clave pública al archivo “authorized_keys” y transmitir la clave privada. clave para un servidor controlado por un atacante que utiliza la red de anonimato TOR.
El objetivo final del ataque es permitir que el adversario obtenga acceso remoto a la máquina de la víctima, dijo CERT-UA. Actualmente no se sabe cómo se propagan estos enlaces.
La agencia señaló además que UAC-0125 está asociado con otro grupo llamado UAC-0002, mejor conocido como APT44, FROZENBARENTS, Sandworm, Seashell Blizzard y Voodoo Bear, un grupo de amenaza persistente avanzada (APT) con vínculos con la Unidad 74455 dentro. la Dirección Principal del Estado Mayor de las Fuerzas Armadas de la Federación de Rusia (GRU).
A principios de este mes, Fortra reveló que ha observado una “tendencia creciente en el abuso de servicios legítimos”, con malos actores que utilizan Cloudflare Workers y Pages para alojar páginas falsas de inicio de sesión de Microsoft 365 y verificación humana para robar las credenciales de los usuarios.
La compañía dijo que ha sido testigo de un aumento del 198% en los ataques de phishing en las páginas de Cloudflare, pasando de 460 incidentes en 2023 a 1370 incidentes a mediados de octubre de 2024. Del mismo modo, los ataques de phishing que utilizan Cloudflare Workers aumentaron un 104%, pasando de 2447 incidentes. en 2023 a 4.999 incidentes hasta la fecha.
El acontecimiento se produce cuando el Consejo Europeo impuso sanciones contra 16 personas y tres entidades que, según dijo, eran responsables de “las acciones desestabilizadoras de Rusia en el extranjero”.
Esto incluye la Unidad GRU 29155, por su participación en asesinatos, bombardeos y ataques cibernéticos en el extranjero en toda Europa, el Groupe Panafricain pour le Commerce et l’Investissement, una red de desinformación que lleva a cabo operaciones encubiertas de influencia prorrusas en la República Centroafricana y Burkina Faso. y African Initiative, una agencia de noticias que amplificó la propaganda y la desinformación rusas en África.
Las sanciones también apuntan a Doppelganger, una red de desinformación liderada por Rusia conocida por difundir narrativas en apoyo de la actual guerra de agresión de Rusia en Ucrania, manipular la opinión pública contra el país y erosionar el apoyo occidental.
Para ello, Sofia Zakharova, jefa del departamento de la Oficina del Presidente de la Federación Rusa para el Desarrollo de las Tecnologías de la Información y las Comunicaciones y la Infraestructura de Comunicaciones, y Nikolai Tupikin, director y fundador de GK Struktura (también conocido como Company Group Structura), han han sido objeto de congelaciones de activos y prohibiciones de viajar.
Tupikin también fue sancionado por la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de Estados Unidos en marzo de 2024 por participar en campañas de influencia maligna extranjera.
