Cloudflare afirmou na quinta-feira que tomou medidas para interromper uma campanha de phishing de um mês orquestrada por um ator de ameaça alinhado à Rússia chamado FlyingYeti, com alvos na Ucrânia.
“A campanha FlyingYeti se aproveitou da ansiedade sobre a potencial perda de acesso a moradia e serviços públicos, atraindo os alvos para abrir arquivos maliciosos por meio de iscas com temática de dívidas”, disse a equipe de inteligência de ameaças da Cloudflare, chamada Cloudforce One, em um novo relatório publicado hoje.
“Se abertos, os arquivos resultariam na infecção com o malware PowerShell conhecido como COOKBOX, permitindo que o FlyingYeti apoiasse objetivos subsequentes, como a instalação de cargas adicionais e controle sobre o sistema da vítima.”
FlyingYeti é a denominação usada pela empresa de infraestrutura web para rastrear um cluster de atividades que o Time de Resposta a Emergências de Computador da Ucrânia (CERT-UA) está rastreando sob o nome UAC-0149.
Ataques anteriores divulgados pela agência de segurança cibernética envolveram o uso de anexos maliciosos enviados via aplicativo de mensagens instantâneas Signal para entregar COOKBOX, um malware baseado em PowerShell capaz de carregar e executar cmdlets.
A última campanha detectada pela Cloudforce One em meados de abril de 2024 envolve o uso de Cloudflare Workers e GitHub, ao lado da exploração da vulnerabilidade do WinRAR rastreada como CVE-2023-38831.
A empresa descreveu o ator ameaçador como focado principalmente em atacar entidades militares ucranianas, acrescentando que ele utiliza DNS dinâmico (DDNS) para sua infraestrutura e aproveita plataformas baseadas na nuvem para encenar conteúdo malicioso e para fins de comando e controle (C2).
As mensagens de e-mail têm sido observadas empregando iscas relacionadas à reestruturação de dívidas e pagamentos para atrair destinatários a clicar em uma página do GitHub agora removida (komunalka.github[.]io) que se faz passar pelo site Kyiv Komunalka e instrui-los a baixar um arquivo do Microsoft Word (“Рахунок.docx”).
Mas na realidade, ao clicar no botão de download na página, isso resulta na obtenção de um arquivo de arquivo RAR (“Заборгованість по ЖКП.rar”), mas somente após avaliação da solicitação HTTP para um Cloudflare Worker. O arquivo RAR, uma vez lançado, aproveita a CVE-2023-38831 para executar o malware COOKBOX.
“O malware é projetado para persistir em um host, servindo como uma base no dispositivo infectado. Uma vez instalado, esta variante de COOKBOX fará solicitações ao domínio DDNS postdock[.]serveftp[.]com para C2, aguardando cmdlets do PowerShell que o malware executará subsequentemente”, disse a Cloudflare.
O desenvolvimento se dá enquanto o CERT-UA alertou sobre um aumento nos ataques de phishing de um grupo motivado financeiramente conhecido como UAC-0006, que são projetados para soltar o malware BunnyLoader, que é então usado para implantar malware adicional como TALESHOT.
Campanhas de phishing também miraram organizações financeiras europeias e americanas para distribuir um software legítimo de Monitoramento e Gerenciamento Remoto (RMM) chamado SuperOps embalando seu instalador MSI dentro de uma versão trojanizada do popular jogo Campo Minado.
“Executar este programa em um computador fornecerá acesso remoto não autorizado ao computador para terceiros”, disse o CERT-UA, atribuindo isso a um ator de ameaça chamado UAC-0188.
A divulgação também segue um relatório da Flashpoint, que revelou que grupos de ameaças avançadas persistentes (APT) russos estão simultaneamente evoluindo e aprimorando suas táticas, bem como expandindo seus alvos.
“Eles estão usando novas campanhas de spear-phishing para extrair dados e credenciais, entregando malware vendido em mercados ilícitos”, disse a empresa na semana passada. “As famílias de malware mais prevalentes usadas nessas campanhas de spear-phishing foram Agent Tesla, Remcos, SmokeLoader, Keylogger Snake e GuLoader.”
