A equipe do Computer Emergency Response Team da Ucrânia (CERT-UA) revelou que um agente de ameaça, rastreado como UAC-0125, está utilizando o serviço Cloudflare Workers para enganar o pessoal militar do país, fazendo-os baixar malware disfarçado de Army+, um aplicativo móvel introduzido pelo Ministério da Defesa em agosto de 2024, com o objetivo de eliminar o uso de papel nas forças armadas.
Usuários que visitam os sites falsos do Cloudflare Workers são induzidos a baixar um executável do Windows do Army+, criado usando o Nullsoft Scriptable Install System (NSIS), uma ferramenta open-source usada para criar instaladores para o sistema operacional.
Ao abrir o binário, um arquivo isca é mostrado para ser iniciado, enquanto um script de PowerShell é executado em paralelo, projetado para instalar o OpenSSH no host infectado, gerar um par de chaves criptográficas RSA, adicionar a chave pública ao arquivo "authorized_keys" e transmitir a chave privada para um servidor controlado pelo atacante por meio da rede de anonimato TOR.
O objetivo final do ataque é permitir que o adversário obtenha acesso remoto à máquina da vítima, disse o CERT-UA.
Atualmente, não se sabe como esses links estão sendo propagados.
A agência também destacou que o UAC-0125 está associado a outro cluster chamado UAC-0002, mais conhecido como APT44, FROZENBARENTS, Sandworm, Seashell Blizzard e Voodoo Bear, um grupo de ameaça persistente avançada (APT) com ligações com a Unidade 74455 dentro do Diretório Principal do Estado-Maior das Forças Armadas da Federação Russa (GRU).
No início deste mês, a Fortra revelou ter observado uma "tendência crescente no abuso de serviços legítimos", com atores mal-intencionados utilizando o Cloudflare Workers e Pages para hospedar páginas falsas de login do Microsoft 365 e de verificação humana para roubar credenciais de usuários.
A empresa afirmou ter testemunhado um aumento de 198% nos ataques de phishing em Cloudflare Pages, subindo de 460 incidentes em 2023 para 1.370 incidentes até meados de outubro de 2024.
Da mesma forma, ataques de phishing que utilizam o Cloudflare Workers tiveram um aumento de 104%, saltando de 2.447 incidentes em 2023 para 4.999 incidentes até agora.
Esse desenvolvimento ocorre ao passo que o Conselho Europeu impôs sanções contra 16 indivíduos e três entidades que, segundo ele, foram responsáveis por "ações desestabilizadoras da Rússia no exterior".
Isso inclui a Unidade 29155 do GRU, por seu envolvimento em assassinatos, bombardeios e ataques cibernéticos em toda a Europa, o Groupe Panafricain pour le Commerce et l'Investissement, uma rede de desinformação realizando operações de influência encobertas pró-Rússia na República Centro-Africana e em Burkina Faso, e a African Initiative, uma agência de notícias que amplificou a propaganda e a desinformação russa na África.
As sanções também visam a Doppelganger, uma rede de desinformação liderada pela Rússia conhecida por disseminar narrativas e em apoio à guerra de agressão russa contra a Ucrânia, manipular a opinião pública contra o país e corroer o apoio ocidental.
Para esse fim, Sofia Zakharova, chefe do departamento no Gabinete do Presidente da Federação Russa para o Desenvolvimento de Tecnologias de Informação e Comunicação e Infraestrutura de Comunicações, e Nikolai Tupikin, chefe e fundador da GK Struktura (conhecida como Company Group Structura), foram submetidos a congelamentos de ativos e proibições de viagem.
Tupikin também foi sancionado pelo Departamento do Tesouro dos EUA, Office of Foreign Assets Control (OFAC), em março de 2024, por envolver-se em campanhas estrangeiras de influência maligna.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...