FlyingYeti maakt gebruik van de kwetsbaarheid in WinRAR om COOKBOX-malware in Oekraïne te leveren

Cloudflare zei donderdag dat het stappen heeft ondernomen om een ​​maand durende phishing-campagne te verstoren, georkestreerd door een aan Rusland verbonden dreigingsacteur genaamd VliegendeYeti gericht op Oekraïne.

“De FlyingYeti-campagne profiteerde van de angst over het potentiële verlies van toegang tot woningen en nutsvoorzieningen door doelen te verleiden kwaadaardige bestanden te openen via lokmiddelen met een schuldenthema”, aldus Cloudflare’s dreigingsinformatieteam Cloudforce One in een nieuw rapport dat vandaag is gepubliceerd.

“Als ze worden geopend, zouden de bestanden resulteren in een infectie met de PowerShell-malware die bekend staat als COOKBOX, waardoor FlyingYeti vervolgdoelen kan ondersteunen, zoals de installatie van extra payloads en controle over het systeem van het slachtoffer.”

FlyingYeti is de benaming die door het webinfrastructuurbedrijf wordt gebruikt om een ​​activiteitencluster te volgen dat het Computer Emergency Response Team van Oekraïne (CERT-UA) volgt onder de naam UAC-0149.

Bij eerdere aanvallen die door de cyberbeveiligingsdienst zijn bekendgemaakt, is gebruik gemaakt van kwaadaardige bijlagen die via de instant messaging-app Signal zijn verzonden om COOKBOX te leveren, een op PowerShell gebaseerde malware die cmdlets kan laden en uitvoeren.

De nieuwste campagne die medio april 2024 door Cloudforce One werd gedetecteerd, omvat het gebruik van Cloudflare Workers en GitHub, naast de exploitatie van de WinRAR-kwetsbaarheid die wordt gevolgd als CVE-2023-38831.

Het bedrijf beschreef de bedreigingsacteur als primair gericht op het aanvallen van Oekraïense militaire entiteiten, en voegde eraan toe dat het dynamische DNS (DDNS) gebruikt voor hun infrastructuur en cloudgebaseerde platforms gebruikt voor het organiseren van kwaadaardige inhoud en voor command-and-control (C2) doeleinden.

Er is waargenomen dat bij de e-mailberichten gebruik wordt gemaakt van schuldsanering en betalingsgerelateerde lokmiddelen om ontvangers te verleiden om op een nu verwijderde GitHub-pagina (komunalka.github(.)io) te klikken die de Kiev Komunalka-website nabootst en hen instrueert een Microsoft Word-bestand te downloaden. (“Рахунок.docx”).

Maar in werkelijkheid resulteert het klikken op de downloadknop op de pagina in het ophalen van een RAR-archiefbestand (“Заборгованість по ЖКП.rar”), maar alleen na evaluatie van het HTTP-verzoek aan een Cloudflare Worker. Het RAR-bestand gebruikt, zodra het is gelanceerd, CVE-2023-38831 om de COOKBOX-malware uit te voeren.

“De malware is ontworpen om op een host te blijven bestaan ​​en als steunpunt op het geïnfecteerde apparaat te dienen. Eenmaal geïnstalleerd, zal deze variant van COOKBOX verzoeken indienen bij het DDNS-domein postdock(.)serveftp(.)com voor C2, in afwachting van PowerShell-cmdlets die de malware zal vervolgens worden uitgevoerd”, aldus Cloudflare.

De ontwikkeling komt nadat CERT-UA waarschuwde voor een piek in phishing-aanvallen van een financieel gemotiveerde groep, bekend als UAC-0006, die zijn ontworpen om de SmokeLoader-malware te laten vallen, die vervolgens wordt gebruikt om extra malware zoals TALESHOT in te zetten.

Phishing-campagnes hebben ook hun zinnen gezet op Europese en Amerikaanse financiële organisaties om legitieme Remote Monitoring and Management (RMM)-software te leveren, genaamd SuperOps, door het MSI-installatieprogramma te verpakken in een getrojaniseerde versie van het populaire Minesweeper-spel.

“Als dit programma op een computer wordt uitgevoerd, wordt ongeautoriseerde externe toegang tot de computer aan derden verleend”, aldus CERT-UA, die dit toeschrijft aan een bedreigingsactor genaamd UAC-0188.

De onthulling volgt ook op een rapport van Flashpoint, waaruit bleek dat Russische geavanceerde persistente dreigingsgroepen (APT) tegelijkertijd hun tactieken ontwikkelen en verfijnen, en hun doelwitten uitbreiden.

“Ze gebruiken nieuwe spearphishing-campagnes om gegevens en inloggegevens te exfiltreren door malware te leveren die op illegale marktplaatsen wordt verkocht”, zei het bedrijf vorige week. “De meest voorkomende malwarefamilies die in deze spearphishing-campagnes werden gebruikt, waren Agent Tesla, Remcos, SmokeLoader, Snake Keylogger en GuLoader.”

Thijs Van der Does