Cloudflare周四表示,它采取了措施来破坏一个为期一个月的网络钓鱼活动,该活动由与俄罗斯结盟的威胁行为者**FlyingYeti**策划,目标是乌克兰。
“FlyingYeti活动利用了人们对可能失去住房和公用事业服务访问权限的焦虑,通过以债务为主题的诱饵诱使目标打开恶意文件,”Cloudflare的威胁情报团队Cloudforce One在今天发布的一份新报告中说。
“如果打开这些文件,将会导致感染名为COOKBOX的PowerShell恶意软件,允许FlyingYeti支持后续目标,例如安装额外的有效载荷和控制受害者的系统。”
FlyingYeti是网络基础设施公司用来追踪乌克兰计算机紧急响应小组(CERT-UA)以UAC-0149为代号追踪的活动集群的名称。
网络安全机构披露的以前的攻击涉及通过Signal即时通讯应用程序发送恶意附件来投递COOKBOX,这是一种基于PowerShell的恶意软件,能够加载和执行cmdlets。
Cloudforce One在2024年4月中旬检测到的最新活动涉及使用Cloudflare Workers和GitHub,以及利用跟踪为CVE-2023-38831的WinRAR漏洞。
公司将威胁行为者描述为主要针对乌克兰军事实体,补充说它使用动态DNS(DDNS)为其基础设施,并利用基于云的平台来安排恶意内容和命令与控制(C2)目的。
观察到的电子邮件消息采用了债务重组和与付款有关的诱饵,诱使收件人点击现已删除的GitHub页面(komunalka.github[.]io),该页面冒充基辅Komunalka网站,并指示他们下载Microsoft Word文件(”Рахунок.docx”)。
但实际上,点击页面上的下载按钮会导致检索RAR归档文件(”Заборгованість по ЖКП.rar”),但只有在评估了对Cloudflare Worker的HTTP请求之后。一旦启动RAR文件,就会利用CVE-2023-38831来执行COOKBOX恶意软件。
“这种恶意软件旨在在主机上持久存在,作为受感染设备的立足点。安装后,这种变体的COOKBOX将向DDNS域postdock[.]serveftp[.]com发出C2请求,等待恶意软件随后运行的PowerShell cmdlets,”Cloudflare说。
与此同时,CERT-UA警告称,一个名为UAC-0006的以财务为动机的团体发起的网络钓鱼攻击激增,这些攻击设计用来投放SmokeLoader恶意软件,然后用于部署其他恶意软件,如TALESHOT。
网络钓鱼活动还将目光投向了欧洲和美国的金融机构,通过在流行的扫雷游戏的木马化版本中打包其合法的远程监控和管理(RMM)软件SuperOps。
“在计算机上运行此程序将为第三方提供未经授权的远程访问计算机,”CERT-UA说,将其归因于一个名为UAC-0188的威胁行为者。
这一披露还遵循了Flashpoint的一份报告,该报告揭示了俄罗斯高级持续性威胁(APT)团体正在同时发展和完善他们的战术,以及扩大他们的目标。
“他们正在使用新的鱼叉式网络钓鱼活动来通过投递在非法市场上销售的恶意软件来窃取数据和凭据,”该公司上周表示。”在这些鱼叉式网络钓鱼活动中使用最普遍的恶意软件家族是Agent Tesla、Remcos、SmokeLoader、Snake Keylogger和GuLoader。”
原文:https://thehackernews.com/2024/05/flyingyeti-exploits-winrar.html
翻译:https://www.youxia.org
