تیم واکنش اضطراری رایانهای اوکراین (CERT–UA) فاش کرد که یک عامل تهدید تحت عنوان UAC–0125، از سرویس Cloudflare Workers برای فریب پرسنل نظامی در کشور جهت دانلود بدافزار پنهان شده تحت عنوان +Army استفاده میکند.
این اپلیکیشن موبایلی، توسط وزارت دفاع در آگوست 2024 در تلاش برای بدون کاغذسازی نیروهای مسلح معرفی شد. از کاربرانی که از وبسایتهای جعلی Cloudflare Workers بازدید میکنند، خواسته میشود که یک ویندوز اجرایی +Army را دانلود کنند که با استفاده از Nullsoft Scriptable Install System (NSIS)، ابزار منبع باز که برای ایجاد نصبکنندههای سیستم عامل استفاده میشود، ایجاد شده است.
باز کردن باینری فایل فریبندهای را نمایش میدهد که باید راهاندازی شود، در حالی که یک اسکریپت پاورشل را نیز اجرا میکند که برای نصب OpenSSH بر روی میزبان آلوده طراحی شده است که یک جفت کلید رمزنگاری RSA تولید میکند: کلید عمومی را به فایل “authorized_keys” افزوده و کلید خصوصی را با استفاده از شبکه TOR ناشناس به سرور تحت کنترل مهاجم منتقل میکند.
هدف نهایی حمله این است که امکان دسترسی از راه دور به دستگاه قربانی را برای مهاجم فراهم کند. گفتنی است که UAC-0125 با گروه APT دیگری به نام UAC-0002 روسیه مرتبط است که اغلب تحت عناوین APT44، FROZENBARENTS، Sandworm، Seashell Blizzard و Voodoo Bear شناخته میشود.
https://thehackernews.com/2024/12/uac-0125-abuses-cloudflare-workers-to.html
