Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA), UAC-0125 olarak takip ettiği bir tehdit aktörünün, ülkedeki askeri personeli, tarafından tanıtılan bir mobil uygulama olan Army+ kılığına girmiş kötü amaçlı yazılımları indirmeleri için kandırmak amacıyla Cloudflare Workers hizmetinden yararlandığını açıkladı. Savunma Bakanlığı, silahlı kuvvetlerin kağıtsız hale getirilmesi amacıyla Ağustos 2024’te geri döndü.
Sahte Cloudflare Workers web sitelerini ziyaret eden kullanıcılardan, işletim sistemi için yükleyiciler oluşturmak için kullanılan açık kaynaklı bir araç olan Nullsoft Scriptable Install System (NSIS) kullanılarak oluşturulan Army+’ın Windows yürütülebilir dosyasını indirmeleri isteniyor.
İkili dosyayı açmak, başlatılacak bir tuzak dosyayı görüntülerken aynı zamanda OpenSSH’yi virüslü ana bilgisayara yüklemek, bir çift RSA şifreleme anahtarı oluşturmak, genel anahtarı “authorized_keys” dosyasına eklemek ve özel anahtarı iletmek için tasarlanmış bir PowerShell betiğini çalıştırır. TOR anonimlik ağını kullanan saldırgan tarafından kontrol edilen bir sunucunun anahtarı.
CERT-UA, saldırının nihai amacının, düşmanın kurbanın makinesine uzaktan erişim sağlamasına olanak sağlamak olduğunu söyledi. Bu bağlantıların nasıl yayıldığı şu anda bilinmiyor.
Ajans ayrıca, UAC-0125’in, daha çok APT44, FROZENBARENTS, Sandworm, Seashell Blizzard ve Voodoo Bear olarak bilinen, Birim 74455 ile bağları olan gelişmiş kalıcı tehdit (APT) grubu olan UAC-0002 adlı başka bir kümeyle ilişkili olduğunu belirtti. Rusya Federasyonu Silahlı Kuvvetleri Genelkurmay Ana Müdürlüğü (GRU).
Bu ayın başlarında Fortra, kötü aktörlerin kullanıcıların kimlik bilgilerini çalmak amacıyla sahte Microsoft 365 oturum açma ve insan doğrulama sayfalarını barındırmak için Cloudflare Çalışanları ve Sayfalarını kullandığı “meşru hizmet kötüye kullanımında artan bir eğilim” gözlemlediğini açıkladı.
Şirket, Cloudflare Sayfalarına yönelik kimlik avı saldırılarında %198’lik bir artışa tanık olduğunu, 2023’teki 460 olaydan Ekim 2024 ortası itibarıyla 1.370 olaya yükseldiğini söyledi. Benzer şekilde, Cloudflare Çalışanlarını kullanan kimlik avı saldırıları da 2.447 olaydan %104 artış gösterdi. 2023’te bugüne kadar 4.999 olay yaşandı.
Gelişme, Avrupa Konseyi’nin “Rusya’nın yurtdışındaki istikrarsızlaştırıcı eylemlerinden” sorumlu olduğunu söylediği 16 kişi ve üç kuruluşa yaptırım uygulaması sonrasında geldi.
Buna, Avrupa genelinde yabancı suikastlara, bombalamalara ve siber saldırılara karıştığı için GRU Birimi 29155, Orta Afrika Cumhuriyeti ve Burkina Faso’da Rusya yanlısı gizli nüfuz operasyonları yürüten bir dezenformasyon ağı olan Groupe Panafricain pour le Commerce et l’Investissement de dahildir. ve Afrika’da Rus propagandasını ve dezenformasyonunu güçlendiren bir haber ajansı olan African Initiative.
Yaptırımlar ayrıca, Rusya’nın Ukrayna’ya yönelik saldırı savaşını destekleyen, ülke aleyhindeki kamuoyunu manipüle eden ve Batı’nın desteğini aşındıran hikayeler yaymasıyla bilinen, Rusya liderliğindeki bir dezenformasyon ağı olan Doppelganger’ı da hedef alıyor.
Bu amaçla, Rusya Federasyonu Cumhurbaşkanlığı Bilgi ve İletişim Teknolojileri ile İletişim Altyapısının Geliştirilmesi Dairesi Bölüm Başkanı Sofia Zakharova ve GK Struktura’nın (diğer adıyla Company Group Structura) başkanı ve kurucusu Nikolai Tupikin, bir araya geldi. mal varlıklarının dondurulmasına ve seyahat yasaklarına maruz kaldı.
Tupikin ayrıca Mart 2024’te ABD Hazine Bakanlığı’nın Yabancı Varlıklar Kontrol Ofisi (OFAC) tarafından yabancıları kötü niyetli etkileme kampanyalarına giriştiği için yaptırıma maruz kalmıştı.