FLYINGYETI利用WinRAR漏洞攻击乌克兰，传送CookBox恶意软件

Cloudflare的研究人员发现了由与俄罗斯相关的威胁行为者FlyingYeti（又称UAC-0149）进行的钓鱼攻击，目标是乌克兰。专家们发布了一份报告，描述了实时努力来干扰和延迟这种威胁活动。

在2022年2月24日俄罗斯入侵乌克兰之初，乌克兰实施了一项暂停驱逐和停止未支付债务的公共事业服务的暂停令。该暂停令于2024年1月结束，导致乌克兰公民面临重大债务责任和增加的财务压力。FlyingYeti活动利用了这种焦虑情绪，使用债务主题的诱饵诱使目标打开消息中嵌入的恶意链接。在打开文件后，PowerShell恶意软件COOKBOX会感染目标系统，使攻击者能够部署附加负载并控制受害者的系统。威胁行为者利用WinRAR漏洞CVE-2023-38831感染目标计算机的漏洞。

Cloudflare表示，FlyingYeti的战术、技术和程序（TTP）与乌克兰CERT分析UAC-0149群体时详细描述的相似。UAC-0149自至少2023年秋季以来一直以COOKBOX恶意软件针对乌克兰国防实体。“威胁行为者在其基础设施中使用动态DNS（DDNS），并利用云平台托管恶意内容和恶意软件命令和控制（C2）。” 

Cloudflare发布的报告中写道。“我们对FlyingYeti TTP的调查表明，这很可能是一个与俄罗斯相关的威胁组。这个行为者似乎主要专注于瞄准乌克兰军事实体。”

威胁行为者以伪装的基辅公房网站（https://www.komunalka.ua）的版本为目标用户提供服务，该网站托管在行为者控制的GitHub页面上（hxxps://komunalka.github.io）。Komunalka是基辅地区的公用事业和其他服务的付款处理器。

FlyingYeti可能通过钓鱼电子邮件或加密的Signal消息将目标引导到此页面。在伪造的网站上，一个大大的绿色按钮提示用户下载一个名为“Рахунок.docx”（“Invoice.docx”）的文件，实际上下载了一个名为“Заборгованість по ЖКП.rar”（“Debt for housing and utility services.rar”）的恶意压缩文件。

打开RAR文件后，CVE-2023-38831漏洞会触发COOKBOX恶意软件的执行。RAR存档包含多个文件，其中一个文件包含Unicode字符“U+201F”，在Windows系统上显示为空白。该字符可以通过添加过多的空格来隐藏文件扩展名，使恶意CMD文件（“Рахунок на оплату.pdf[unicode character U+201F].cmd”）看起来像是一个PDF文档。存档还包括一个相同名称但不包含Unicode字符的良性PDF文件。打开存档时，目录名称也与良性PDF名称匹配。此命名重叠利用了WinRAR漏洞CVE-2023-38831，导致在目标尝试打开良性PDF时执行恶意CMD。

报告继续指出：“CMD文件包含Flying Yeti PowerShell恶意软件COOKBOX。该恶意软件旨在在主机上持久存在，作为感染设备的立足点。安装后，COOKBOX的此变种将向DDNS域名postdock.serveftp.com发出请求进行C2，并等待随后由恶意软件运行的PowerShell cmdlet。除COOKBOX外，还打开了几个诱饵文件，其中包含使用Canary Tokens服务的隐藏跟踪链接。”

原文始发于微信公众号（黑猫安全）：FLYINGYETI利用WinRAR漏洞攻击乌克兰，传送CookBox恶意软件