CERT-UA披露,它追踪到的一个名为 UAC-0125 的威胁行为者正在利用 Cloudflare Workers 服务,诱骗该国军人下载伪装成 Army+ 的恶意软件,这是一款由国防部于 2024 年 8 月推出的移动应用程序,旨在使武装部队实现无纸化。
访问假冒 Cloudflare Workers 网站的用户会被提示下载 Army+ 的 Windows 可执行文件,该文件是使用 Nullsoft Scriptable Install System(NSIS)创建的,NSIS 是一种用于创建操作系统安装程序的开源工具。
打开二进制文件会显示一个待启动的诱饵文件,同时还会执行一个 PowerShell 脚本,该脚本的目的是在受感染主机上安装 OpenSSH,生成一对 RSA 密钥,将公钥添加到 “authorized_keys ”文件中,并使用 TOR 匿名网络将私钥传输到攻击者控制的服务器上。
CERT-UA 说,攻击的最终目的是让对手远程访问受害者的机器。目前还不知道这些链接是如何传播的。
该机构进一步指出,UAC-0125 与另一个名为 UAC-0002 的集群有关,该集群被称为 APT44、FROZENBARENTS、Sandworm、Seashell Blizzard 和 Voodoo Bear,是一个高级持续性威胁(APT)组织,与俄罗斯联邦武装力量总参谋部(GRU)下属的 74455 部队有联系。
本月早些时候,Fortra 发现 “合法服务滥用呈上升趋势”,不良行为者利用 Cloudflare Workers 和 Pages 托管虚假的 Microsoft 365 登录和人工验证页面,以窃取用户凭据。
该公司表示,针对Cloudflare Pages的网络钓鱼攻击增加了198%,从2023年的460起增加到2024年10月中旬的1370起。同样,利用Cloudflare Workers的网络钓鱼攻击也激增了104%,从2023年的2447起事件上升到迄今为止的4999起事件。
欧洲理事会对 16 名个人和 3 个实体实施了制裁,称他们对 “俄罗斯破坏海外稳定的行动 ”负有责任。
其中包括参与欧洲各地外国暗杀、爆炸和网络攻击的 GRU Unit 29155、在中非共和国和布基纳法索开展亲俄秘密影响行动的虚假信息网络 Groupe Panafricain pour le Commerce et l’Investissement,以及在非洲扩大俄罗斯宣传和虚假信息的新闻机构 African Initiative。
制裁还针对 “二重身”(Doppelganger)。“二重身 ”是一个由俄罗斯主导的虚假信息网络,以传播叙事和支持俄罗斯对乌克兰的侵略战争、操纵反对乌克兰的舆论和削弱西方支持而闻名。
为此,俄罗斯联邦总统信息和通信技术及通信基础设施发展办公室主任索菲亚-扎哈罗娃(Sofia Zakharova)和GK Struktura(又名Company Group Structura)的负责人和创始人尼古拉-图皮金(Nikolai Tupikin)已被冻结资产和禁止旅行。
早在 2024 年 3 月,图皮金还因参与外国恶意影响活动而受到美国财政部外国资产控制办公室(OFAC)的制裁。
文章原文链接:https://www.anquanke.com/post/id/302876