据乌克兰计算机应急响应小组(CERT-UA)披露,名为 UAC-0125 的威胁行为者正在利用 Cloudflare Workers 服务,诱使该国军事人员下载伪装成 Army+ 的恶意软件。Army+ 是由乌克兰国防部于 2024 年 8 月推出的一款移动应用,旨在帮助武装部队实现无纸化操作。
访问伪造的 Cloudflare Workers 网站的用户会被提示下载一个名为 Army+ 的 Windows 可执行文件,该文件是使用 Nullsoft Scriptable Install System(NSIS)创建的,NSIS 是一款开源工具,用于为操作系统创建安装程序。
打开该二进制文件后,会显示一个伪装的文件并启动,同时执行一个 PowerShell 脚本,该脚本旨在安装 OpenSSH,生成一对 RSA 密钥对,将公钥添加到“authorized_keys”文件中,并通过 TOR 匿名网络将私钥传输到攻击者控制的服务器上。
该攻击的最终目标是让攻击者能够远程访问受害者的计算机,CERT-UA 表示,目前尚不清楚这些链接是如何传播的。
该机构进一步指出,UAC-0125 与另一个名为 UAC-0002 的威胁群体相关,后者更广为人知的名称包括 APT44、FROZENBARENTS、Sandworm、Seashell Blizzard 和 Voodoo Bear,这是一个与俄罗斯联邦总参谋部第 74455 单位(GRU)有关的高级持续性威胁(APT)组织。
本月早些时候,Fortra 披露其观察到“合法服务滥用”的上升趋势,恶意行为者利用 Cloudflare Workers 和 Pages 托管虚假的 Microsoft 365 登录和人类验证页面,以窃取用户凭证。
该公司表示,Cloudflare Pages 上的钓鱼攻击已增长 198%,从 2023 年的 460 起事件增至 2024 年 10 月中旬的 1,370 起。同样,利用 Cloudflare Workers 的钓鱼攻击也增加了 104%,从 2023 年的 2,447 起事件增至目前的 4,999 起。
该事件发生时,欧洲理事会对 16 名个人和 3 个实体实施制裁,指责其“俄罗斯在国外的破坏性行动”。这些对象包括涉及在欧洲的外部刺杀、爆炸和网络攻击的 GRU 29155 单位,以及参与中非共和国和布基纳法索的亲俄秘密影响操作的“非洲贸易与投资集团”和“非洲倡议”新闻机构,这些机构传播俄罗斯宣传和虚假信息。
消息来源:The Hacker News, 编译:zhongx;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
暂无评论内容