Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA), açıklandı UAC-0125 olarak takip ettiği bir tehdit aktörünün, ülkedeki askeri personeli kandırarak kötü amaçlı yazılımları indirmeleri için Cloudflare Workers hizmetinden yararlandığını söyledi. Ordu+Silahlı kuvvetlerin kağıtsız hale getirilmesi amacıyla Savunma Bakanlığı tarafından Ağustos 2024’te tanıtılan bir mobil uygulama.
Sahte Cloudflare Workers web sitelerini ziyaret eden kullanıcılardan, işletim sistemi için yükleyiciler oluşturmak için kullanılan açık kaynaklı bir araç olan Nullsoft Scriptable Install System (NSIS) kullanılarak oluşturulan Army+’ın Windows yürütülebilir dosyasını indirmeleri isteniyor.
İkili dosyayı açmak, başlatılacak bir tuzak dosyayı görüntülerken aynı zamanda OpenSSH’yi virüslü ana bilgisayara yüklemek, bir çift RSA şifreleme anahtarı oluşturmak, genel anahtarı “authorized_keys” dosyasına eklemek ve özel anahtarı iletmek için tasarlanmış bir PowerShell betiğini çalıştırır. TOR anonimlik ağını kullanan saldırgan tarafından kontrol edilen bir sunucunun anahtarı.
CERT-UA, saldırının nihai amacının, düşmanın kurbanın makinesine uzaktan erişim sağlamasına olanak sağlamak olduğunu söyledi. Bu bağlantıların nasıl yayıldığı şu anda bilinmiyor.
Ajans ayrıca, UAC-0125’in, daha çok APT44, FROZENBARENTS, Sandworm, Seashell Blizzard ve Voodoo Bear olarak bilinen, Birim 74455 ile bağları olan gelişmiş kalıcı tehdit (APT) grubu olan UAC-0002 adlı başka bir kümeyle ilişkili olduğunu belirtti. Rusya Federasyonu Silahlı Kuvvetleri Genelkurmay Başkanlığı Ana Müdürlüğü (GRU).
Bu ayın başında Fortra açıklığa kavuşmuş kötü aktörlerin, kullanıcıların kimlik bilgilerini çalmak amacıyla sahte Microsoft 365 oturum açma ve insan doğrulama sayfalarını barındırmak için Cloudflare Çalışanlarını ve Sayfalarını kullandığı “meşru hizmet kötüye kullanımında artan bir eğilim” gözlemledi.
Şirket, Cloudflare Sayfalarına yönelik kimlik avı saldırılarında %198’lik bir artışa tanık olduğunu, 2023’teki 460 olaydan Ekim 2024 ortası itibarıyla 1.370 olaya yükseldiğini söyledi. Benzer şekilde, Cloudflare Çalışanlarını kullanan kimlik avı saldırıları da 2.447 olaydan %104 artış gösterdi. 2023’te bugüne kadar 4.999 olay yaşandı.
Gelişme, Avrupa Konseyi’nin uygulanan yaptırımlar “Rusya’nın yurt dışındaki istikrarsızlaştırıcı eylemlerinden” sorumlu olduğu söylenen 16 kişi ve üç kuruluşa karşı.
Buna, Avrupa genelinde yabancı suikastlara, bombalamalara ve siber saldırılara karıştığı için GRU Birimi 29155, Orta Afrika Cumhuriyeti ve Burkina Faso’da Rusya yanlısı gizli nüfuz operasyonları yürüten bir dezenformasyon ağı olan Groupe Panafricain pour le Commerce et l’Investissement de dahildir. ve Afrika’da Rus propagandasını ve dezenformasyonunu güçlendiren bir haber ajansı olan African Initiative.
Yaptırımlar ayrıca, Rusya’nın Ukrayna’da devam eden saldırganlık savaşını destekleyen anlatılar yaydığı, ülke aleyhindeki kamuoyunu manipüle ettiği ve Batı’nın desteğini zayıflattığı bilinen, Rusya liderliğindeki bir dezenformasyon ağı olan Doppelganger’ı da hedef alıyor.
Bu amaçla, Rusya Federasyonu Cumhurbaşkanlığı Bilgi ve İletişim Teknolojileri ile İletişim Altyapısının Geliştirilmesi Dairesi Bölüm Başkanı Sofia Zakharova ve GK Struktura’nın (diğer adıyla Company Group Structura) başkanı ve kurucusu Nikolai Tupikin, bir araya geldi. mal varlıklarının dondurulmasına ve seyahat yasaklarına maruz kaldı.
Tupikin ayrıca Mart 2024’te ABD Hazine Bakanlığı’nın Yabancı Varlıklar Kontrol Ofisi (OFAC) tarafından yabancıları kötü niyetli etkileme kampanyalarına giriştiği için yaptırıma maruz kalmıştı.
