FlyingYeti 利用 WinRAR 漏洞在乌克兰传播 COOKBOX 恶意软件

Cloudflare 周四表示，已采取措施阻止由与俄罗斯结盟的黑客组织FlyingYeti策划的针对乌克兰的为期一个月的网络钓鱼活动。

Cloudflare 的威胁情报团队 Cloudforce One在今天发布的新报告（https://blog.cloudflare.com/disrupting-flyingyeti-campaign-targeting-ukraine）中表示：“FlyingYeti 活动利用了人们对可能失去住房和公用设施使用权的焦虑，通过以债务为主题的诱饵诱使目标打开恶意文件。”

“如果打开这些文件，将导致感染被称为 COOKBOX 的 PowerShell 恶意软件，从而允许 FlyingYeti 支持后续目标，例如安装额外的有效载荷和控制受害者的系统。”

FlyingYeti 是乌克兰计算机应急响应小组 (CERT-UA) 以 UAC-0149 为名追踪的网络犯罪组织集群的名称。

该网络安全机构披露的先前攻击涉及使用通过 Signal 即时通讯应用程序发送的恶意附件来传播COOKBOX，这是一种能够加载和执行基于 PowerShell 编写的 cmdlet 恶意软件。

Cloudforce One 在 2024 年 4 月中旬检测到的最新活动涉及使用 Cloudflare Workers 和 GitHub，同时利用编号为CVE-2023-38831的 WinRAR 漏洞。

提示下载恶意档案“Заборгованість по ЖКП.rar”

恶意 RAR 压缩包“Заборгованість по ЖКП.rar”中包含的文件

该公司称，该黑客组织主要针对乌克兰军事实体，其基础设施使用动态 DNS (DDNS)，并利用基于云的平台来发布恶意内容和进行命令与控制 (C2) 。

据观察，这些电子邮件采用债务重组和支付相关的诱饵，诱使收件人点击现已删除的 GitHub 页面 (komunalka.github[.]io)，该页面冒充基辅 Komunalka 网站并指示他们下载 Microsoft Word 文件（“Рахунок.docx”）。

但实际上，点击页面上的下载按钮会检索 RAR 存档文件（“Заборгованість по ЖКП.rar”），但只有在评估了对 Cloudflare Worker 的 HTTP 请求后才会执行。一旦启动，RAR 文件就会利用 CVE-2023-38831 来执行 COOKBOX 恶意软件。

Cloudflare 表示：“该恶意软件旨在在主机上持久存在，作为受感染设备的立足点。安装后，该 COOKBOX 变种将向 DDNS 域 postdock[.]serveftp[.]com 发出 C2 请求，等待恶意软件随后运行的 PowerShell cmdlet。”

网络钓鱼活动还将目光瞄准了欧洲和美国的金融机构，通过将其 MSI 安装程序打包到流行的扫雷游戏的木马版本中，来部署名为 SuperOps 的合法远程监控和管理软件。

CERT-UA表示：“在计算机上运行该程序将为第三方提供未经授权的计算机远程访问权限”，CERT-UA将该攻击活动归咎于一个名为 UAC-0188 的黑客组织。

此次披露还遵循了 Flashpoint 的一份报告，该报告显示俄罗斯高级持续性威胁 (APT) 组织正在同时发展和改进其策略以及扩大其目标范围。

该公司上周表示：“他们正在利用新的鱼叉式网络钓鱼活动窃取数据和凭证，在受害者目标上投放商业木马恶意软件。这些鱼叉式网络钓鱼活动中使用最流行的恶意软件系列是 Agent Tesla、Remcos、SmokeLoader、Snake Keylogger 和 GuLoader。”

新闻链接：https://thehackernews.com/2024/05/flyingyeti-exploits-winrar.html

讲述普通人能听懂的安全故事