Cyber Inganno: Malware travestito da App Militare mette a rischio la sicurezza ucraina
- Redazione
- News
- Visite: 208
Il CERT-UA, il team di risposta alle emergenze informatiche dell'Ucraina, ha recentemente rivelato che un gruppo di minacce identificato come UAC-0125 sta sfruttando il servizio Cloudflare Workers per ingannare il personale militare ucraino a scaricare malware mascherato da "Army+", un'app mobile introdotta dal Ministero della Difesa nell'agosto 2024. Questa app è stata progettata per digitalizzare le operazioni delle forze armate, ma i cybercriminali hanno creato siti web falsi su Cloudflare Workers per distribuire un eseguibile Windows della stessa app, costruito utilizzando il sistema open-source Nullsoft Scriptable Install System (NSIS).
L'apertura del file eseguibile attiva un file esca mentre, in background, viene eseguito uno script PowerShell per installare OpenSSH sull'host infetto. Questo script genera una coppia di chiavi crittografiche RSA, aggiunge la chiave pubblica al file "authorized_keys" e invia la chiave privata a un server controllato dagli attaccanti tramite la rete TOR. L'obiettivo finale di questo attacco è consentire agli attaccanti di ottenere l'accesso remoto alla macchina della vittima.
Il CERT-UA ha notato un'associazione tra UAC-0125 e un altro cluster noto come UAC-0002, o APT44, collegato all'unità 74455 del GRU, l'intelligence delle forze armate della Federazione Russa. Fortra ha recentemente osservato un aumento dell'abuso di servizi legittimi con attori malintenzionati che utilizzano Cloudflare Workers e Pages per ospitare false pagine di accesso a Microsoft 365 e pagine di verifica umana per rubare le credenziali degli utenti.
Il Consiglio dell'Unione Europea e le sanzioni
Nel contesto delle crescenti minacce informatiche, il Consiglio dell'Unione Europea ha imposto sanzioni contro 16 individui e tre entità responsabili delle attività destabilizzanti della Russia all'estero. Tra i bersagli delle sanzioni c'è l'Unità GRU 29155, implicata in omicidi, attentati e attacchi informatici in Europa. Altre organizzazioni sanzionate includono il Groupe Panafricain pour le Commerce et l'Investissement, che conduce operazioni di influenza a favore della Russia, e African Initiative, un'agenzia di stampa che amplifica la propaganda russa in Africa.
Infine, queste sanzioni mirano anche a colpire Doppelganger, una rete di disinformazione guidata dalla Russia che sostiene la guerra di aggressione in Ucraina e cerca di manipolare l'opinione pubblica contro il paese, intaccando il supporto occidentale.