Το Computer Emergency Response Team της Ουκρανίας (CERT-UA) αποκάλυψε ότι μια ομάδα από hackers (την οποία παρακολουθεί ως UAC-0125) καταχράται την υπηρεσία Cloudflare Workers για να ξεγελάσει το στρατιωτικό προσωπικό στη χώρα ώστε να κατεβάσει κακόβουλο λογισμικό που είναι μεταμφιεσμένο στο Army+ app. Πρόκειται για μια εφαρμογή για κινητά που εισήχθη από το Υπουργείο Άμυνας τον Αύγουστο.
Οι χρήστες που επισκέπτονται τους ψεύτικους ιστότοπους του Cloudflare Workers καλούνται να κατεβάσουν ένα εκτελέσιμο Windows του Army+, το οποίο δημιουργείται μέσω του Nullsoft Scriptable Install System (NSIS).
Δείτε επίσης: Hackers εκμεταλλεύονται το Webview2 για παράδοση του malware CoinLurker
Το άνοιγμα του κακόβουλου binary εμφανίζει ένα αρχείο-δόλωμα, ενώ εκτελεί παράλληλα ένα PowerShell script. Αυτό, με τη σειρά του, εγκαθιστά το OpenSSH στον μολυσμένο υπολογιστή, δημιουργεί ένα ζεύγος RSA cryptographic keys, προσθέτει το δημόσιο κλειδί στο αρχείο “authorized_keys” και μεταδίδει το ιδιωτικό κλειδί σε έναν διακομιστή, που ελέγχεται από τους hackers UAC-0125.
Ένας Τεράστιος Σταθμός Ηλιακής Ενέργειας στο Διάστημα;
Το Hubble βρήκε νεογέννητα αστέρια στο νεφέλωμα του Ωρίωνα
Ημιμαραθώνιος Κίνα: Άνθρωποι θα αναμετρηθούν με ρομπότ
Σύμφωνα με το CERT-UA, στόχος των hackers είναι να αποκτήσουν απομακρυσμένη πρόσβαση στο μηχάνημα του θύματος. Προς το παρόν, δεν γνωρίζουμε πώς οι hackers UAC-0125 διανέμουν τους ψεύτικους συνδέσμους για το Cloudflare Workers.
Το CERT-UA παρατήρησε ότι οι συγκεκριμένοι hackers σχετίζονται με μια άλλη ομάδα, την UAC-0002, η οποία είναι πιο γνωστή ως APT44, FROZENBARENTS, Sandworm, Seashell Blizzard και Voodoo Bear. Αυτή η ομάδα συνδέεται με τη Ρωσία.
Δείτε επίσης: Κακόβουλες ειδοποιήσεις του SharePoint διανέμουν Xloader Malware
Νωρίτερα αυτό το μήνα, η Fortra αποκάλυψε ότι έχει παρατηρήσει μια “ανοδική τάση στη κατάχρηση νόμιμων υπηρεσιών“, με τους επιτιθέμενους να χρησιμοποιούν τα Cloudflare Workers και Pages για να φιλοξενούν ψεύτικες σελίδες σύνδεσης του Microsoft 365 και να κλέψουν τα διαπιστευτήρια των χρηστών.
Λαμβάνοντας υπόψη αυτές τις πρόσφατες επιθέσεις στο στρατιωτικό προσωπικό της Ουκρανίας, καταλαβαίνουμε ότι οι οργανισμοί σε όλους τους κλάδους πρέπει να γνωρίζουν τους πιθανούς κινδύνους που θέτουν οι κακόβουλοι παράγοντες και να λαμβάνουν μέτρα για την προστασία τους. Με την αυξανόμενη εξάρτηση από την τεχνολογία, έχει καταστεί κρίσιμο να δοθεί προτεραιότητα στα μέτρα κυβερνοασφάλειας.
Ένας τρόπος ενίσχυσης της άμυνας έναντι τέτοιων επιθέσεων είναι μέσω τακτικών προγραμμάτων εκπαίδευσης και ευαισθητοποίησης των εργαζομένων. Εκπαιδεύοντας τα άτομα σχετικά με τους κοινούς τύπους απειλών στον κυβερνοχώρο και τον τρόπο εντοπισμού τους, οι οργανισμοί μπορούν να μειώσουν τις πιθανότητες να πέσουν θύματα τέτοιων επιθέσεων.
Δείτε επίσης: Hackers χρησιμοποιούν το Yokai Malware
Επιπλέον, η εφαρμογή ισχυρών πρωτοκόλλων ασφαλείας και η τακτική ενημέρωση λογισμικού μπορούν επίσης να συμβάλουν στον μετριασμό του κινδύνου κυβερνοεπιθέσεων. Είναι σημαντικό για τους οργανισμούς να παρακολουθούν συνεχώς τα δίκτυα και τα συστήματά τους για τυχόν ύποπτες δραστηριότητες ή ανωμαλίες.
Τέλος, το προσωπικό θα πρέπει να είναι προσεκτικό με μηνύματα ή emails που περιέχουν συνδέσμους και θα πρέπει να κατεβάζει εφαρμογές και λογισμικό μόνο από αξιόπιστες και επίσημες σελίδες.
Πηγή: thehackernews.com