【安全资讯】FlyingYeti利用WinRAR漏洞攻击乌克兰,传播COOKBOX恶意软件

安恒恒脑 2024-06-12 10:26:38 1533人浏览

概要:

俄罗斯关联的威胁组织FlyingYeti近期针对乌克兰发起了一场网络钓鱼攻击,利用WinRAR漏洞传播名为COOKBOX的PowerShell恶意软件。Cloudflare的研究人员发现,这次攻击活动主要通过伪装成债务相关的诱饵邮件,诱导受害者点击恶意链接,从而感染目标系统。这一事件再次凸显了网络安全的重要性和复杂性。

主要内容:

Cloudflare的专家在一份报告中详细描述了FlyingYeti的攻击活动。该组织利用乌克兰在2024年1月结束的驱逐和终止公用事业服务的暂缓令,制造了大量债务相关的诱饵邮件。这些邮件中嵌入了恶意链接,诱导受害者点击并下载包含COOKBOX恶意软件的文件。

攻击者利用了WinRAR的CVE-2023-38831漏洞,通过一个伪装成合法文件的恶意压缩包进行传播。该压缩包内包含多个文件,其中一个文件名使用了Unicode字符“U+201F”,在Windows系统上显示为空白字符,从而隐藏了文件扩展名。当受害者尝试打开看似无害的PDF文件时,实际上触发了恶意CMD文件的执行,导致COOKBOX恶意软件感染系统。

FlyingYeti的攻击手法与乌克兰CERT分析的UAC-0149集群的战术、技术和程序(TTPs)相似。该组织主要针对乌克兰的军事实体,利用动态DNS(DDNS)和云平台进行恶意内容的托管和命令与控制(C2)。此外,攻击者还使用了伪装的Kyiv Komunalka公用事业支付网站,通过钓鱼邮件或加密的Signal消息引导目标访问恶意页面。

一旦COOKBOX恶意软件成功感染系统,它会持续存在并作为攻击者在受感染设备上的立足点。该恶意软件会向DDNS域名postdock[.]serveftp[.]com发送请求,等待执行PowerShell命令。同时,多个诱饵文档也会被打开,其中包含使用Canary Tokens服务的隐藏跟踪链接。

此次事件再次提醒我们,网络安全威胁无处不在,尤其是在当前复杂的国际局势下。各组织和个人应保持高度警惕,及时更新安全补丁,并采取必要的防护措施,以防范类似的网络攻击。
网络钓鱼 恶意软件 乌克兰 俄罗斯 军事 公共服务
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。