Cloudflare Workers-Service als Malware-Schleuder für Militär missbraucht
Das ukrainische CERT-UA hat die Hackergruppe UAC-0125 enttarnt, die den Cloudflare Workers-Service nutzt, um Militärangehörigen Malware unterzuschieben. Die Malware tarnt sich als „Army+“, eine mobile App, die im August 2024 vom Verteidigungsministerium eingeführt wurde, um die Verwaltung der Streitkräfte zu digitalisieren und papierlos zu gestalten.
Benutzer, die auf die gefälschten Cloudflare Workers-Webseiten gelangen, werden aufgefordert, eine manipulierte Windows-Datei der App „Army+“ herunterzuladen. Diese Datei wurde mit dem Open-Source-Tool NSIS erstellt, das normalerweise für die Erstellung von Installationsprogrammen verwendet wird. Nach dem Öffnen der Datei wird zunächst eine harmlose Täuschungsdatei gestartet. Gleichzeitig wird ein PowerShell-Skript ausgeführt, das OpenSSH auf dem infizierten Computer installiert, ein Paar RSA-Kryptoschlüssel generiert und den öffentlichen Schlüssel zur Datei „authorized_keys“ hinzufügt. Der private Schlüssel wird anschließend über das TOR-Netzwerk an einen Server übertragen, der von den Angreifern kontrolliert wird.
Das Ziel des Angriffs besteht darin, dem Angreifer einen unbemerkten Fernzugriff auf den infizierten Computer zu ermöglichen. Wie die schädlichen Links zu den gefälschten Webseiten verbreitet werden, ist bislang nicht bekannt. CERT-UA hat zudem festgestellt, dass die Hackergruppe UAC-0125 mit einer anderen Bedrohungsgruppe namens UAC-0002 in Verbindung steht. Diese ist besser bekannt als Sandworm (auch APT44, FROZENBARENTS, Seashell Blizzard oder Voodoo Bear) und wird der russischen Militäreinheit 74455 innerhalb der Hauptdirektion des Generalstabs (GRU) zugerechnet.
Fortra berichtete, dass immer mehr Cyberkriminelle legitime Dienste wie Cloudflare Workers und Pages missbrauchen, um gefälschte Microsoft 365-Anmeldeseiten oder Seiten zur Verifizierung von Personen zu hosten und so Anmeldedaten der Nutzer zu stehlen.
Laut dem Unternehmen stiegen die Phishing-Angriffe auf Cloudflare Pages um 198 Prozent, von 460 Vorfällen im Jahr 2023 auf 1.370 bis Mitte Oktober 2024. Angriffe, die Cloudflare Workers nutzen, nahmen ebenfalls um 104 Prozent zu, von 2.447 im Jahr 2023 auf 4.999 bis heute.
Weitere Ereignisse im Umfeld der aktuellen Kampagne
Im Vorfeld dieses Angriffs hat der Europäische Rat Sanktionen gegen 16 Personen und drei Organisationen verhängt, die für „Russlands destabilisierende Aktivitäten im Ausland“ verantwortlich gemacht werden.
Betroffen ist unter anderem die russische GRU-Einheit 29155, die für Attentate, Bombenanschläge und Cyberangriffe in Europa verantwortlich sein soll. Weitere sanktionierte Organisationen sind die Groupe Panafricain pour le Commerce et l’Investissement, die prorussische Desinformation in der Zentralafrikanischen Republik und Burkina Faso betreibt, sowie African Initiative, eine Nachrichtenagentur, die russische Propaganda in Afrika verbreitet.
Auch das Desinformationsnetzwerk Doppelganger, das russische Kriegsnarrative fördert, die öffentliche Meinung gegen die Ukraine manipuliert und westliche Unterstützung untergräbt, wurde mit Sanktionen belegt.
Zusätzlich wurden Sanktionen gegen Sofia Zakharova, eine hochrangige Beamtin im Büro des russischen Präsidenten, sowie Nikolai Tupikin, den Gründer der Unternehmensgruppe Structura, verhängt. Beide unterliegen nun Reiseverboten und Vermögenssperren. Tupikin wurde bereits im März 2024 vom US-Finanzministerium wegen seiner Beteiligung an russischen Einflusskampagnen sanktioniert.