Tim Tanggap Darurat Komputer Ukraina (CERT-UA) telah mengungkapkan bahwa pelaku ancaman yang dilacaknya sebagai UAC-0125 memanfaatkan layanan Cloudflare Workers untuk mengelabui personel militer di negara tersebut agar mengunduh malware yang menyamar sebagai Army+, sebuah aplikasi seluler yang diperkenalkan oleh Kementerian Pertahanan pada bulan Agustus 2024 dalam upaya menjadikan angkatan bersenjata tidak menggunakan kertas.
Pengguna yang mengunjungi situs web Cloudflare Workers palsu diminta untuk mengunduh Windows executable Army+, yang dibuat menggunakan Nullsoft Scriptable Install System (NSIS), sebuah alat sumber terbuka yang digunakan untuk membuat penginstal untuk sistem operasi.
Membuka biner akan menampilkan file umpan yang akan diluncurkan, sekaligus menjalankan skrip PowerShell yang dirancang untuk menginstal OpenSSH pada host yang terinfeksi, menghasilkan sepasang kunci kriptografi RSA, menambahkan kunci publik ke file “authorized_keys”, dan mengirimkan file pribadi kunci ke server yang dikendalikan penyerang menggunakan jaringan anonimitas TOR.
Tujuan akhir dari serangan ini adalah untuk memungkinkan musuh mendapatkan akses jarak jauh ke mesin korban, kata CERT-UA. Saat ini tidak diketahui bagaimana tautan ini disebarkan.
Badan tersebut lebih lanjut mencatat bahwa UAC-0125 dikaitkan dengan cluster lain yang disebut UAC-0002, yang lebih dikenal sebagai APT44, FROZENBARENTS, Sandworm, Seashell Blizzard, dan Voodoo Bear, sebuah grup ancaman persisten tingkat lanjut (APT) yang memiliki hubungan dengan Unit 74455 di dalamnya. Direktorat Utama Staf Umum Angkatan Bersenjata Federasi Rusia (GRU).
Awal bulan ini, Fortra mengungkapkan bahwa mereka telah mengamati “tren peningkatan penyalahgunaan layanan yang sah,” dimana pelaku kejahatan memanfaatkan Cloudflare Workers dan Pages untuk menghosting halaman login Microsoft 365 palsu dan halaman verifikasi manusia untuk mencuri kredensial pengguna.
Perusahaan mengatakan mereka telah menyaksikan peningkatan sebesar 198% dalam serangan phishing di Halaman Cloudflare, meningkat dari 460 insiden pada tahun 2023 menjadi 1,370 insiden pada pertengahan Oktober 2024. Demikian pula, serangan phishing yang memanfaatkan Cloudflare Workers telah melonjak sebesar 104%, meningkat dari 2,447 insiden pada tahun 2023 menjadi 4.999 kejadian hingga saat ini.
Perkembangan ini terjadi ketika Dewan Eropa menjatuhkan sanksi terhadap 16 individu dan tiga entitas yang dikatakan bertanggung jawab atas “tindakan Rusia yang mengganggu stabilitas di luar negeri.”
Ini termasuk GRU Unit 29155, atas keterlibatannya dalam pembunuhan asing, pemboman, dan serangan dunia maya di seluruh Eropa, Groupe Panafricain pour le Commerce et l'Investissement, jaringan disinformasi yang melakukan operasi pengaruh rahasia pro-Rusia di Republik Afrika Tengah dan Burkina Faso , dan African Initiative, sebuah kantor berita yang memperkuat propaganda dan disinformasi Rusia di Afrika.
Sanksi tersebut juga menargetkan Doppelganger, jaringan disinformasi pimpinan Rusia yang dikenal menyebarkan narasi dan mendukung perang agresi Rusia terhadap Ukraina, memanipulasi opini publik terhadap negara tersebut, dan mengikis dukungan Barat.
Untuk itu, Sofia Zakharova, kepala departemen di Kantor Presiden Federasi Rusia untuk Pengembangan Teknologi Informasi dan Komunikasi serta Infrastruktur Komunikasi, dan Nikolai Tupikin, kepala dan pendiri GK Struktura (alias Company Group Structura), telah telah mengalami pembekuan aset dan larangan bepergian.
Tupikin juga dijatuhi sanksi oleh Kantor Pengawasan Aset Luar Negeri (OFAC) Departemen Keuangan AS pada Maret 2024 karena terlibat dalam kampanye pengaruh jahat asing.
