Cloudflare anunció el jueves que tomó medidas para interrumpir una campaña de phishing orquestada por FlyingYeti, un actor de amenazas alineado con Rusia que apuntaba a Ucrania.
La campaña de FlyingYeti se aprovechó de la ansiedad por la posible pérdida de acceso a viviendas y servicios públicos, incitando a los objetivos a abrir archivos maliciosos a través de señuelos relacionados con deudas. Si se abrían, los archivos resultarían en la infección con el malware PowerShell conocido como COOKBOX, lo que permitiría a FlyingYeti apoyar objetivos posteriores, como la instalación de cargas adicionales y el control sobre el sistema de la víctima.
FlyingYeti es la denominación utilizada por la empresa de infraestructura web para rastrear un conglomerado de actividades que el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) está rastreando con el nombre UAC-0149.
Ataques previos revelados por la agencia de ciberseguridad han involucrado el uso de adjuntos maliciosos enviados a través de la aplicación de mensajería instantánea Signal para entregar COOKBOX, un malware basado en PowerShell capaz de cargar y ejecutar cmdlets.
La última campaña detectada por Cloudforce One a mediados de abril de 2024 involucra el uso de Cloudflare Workers y GitHub, junto con la explotación de la vulnerabilidad de WinRAR rastreada como CVE-2023-38831.
La compañía describió al actor de amenazas como centrado principalmente en objetivos militares ucranianos, agregando que utiliza DNS dinámico (DDNS) para su infraestructura y aprovecha plataformas basadas en la nube para albergar contenido malicioso y con fines de comando y control (C2).
Los mensajes de correo electrónico han sido observados utilizando señuelos de reestructuración de deudas y pagos para incitar a los destinatarios a hacer clic en una página de GitHub eliminada (komunalka.github[.]io) que finge ser el sitio web de Kyiv Komunalka y les instruye a descargar un archivo de Microsoft Word («Рахунок.docx»).
Pero en realidad, hacer clic en el botón de descarga en la página resulta en la obtención de un archivo de archivo RAR («Заборгованість по ЖКП.rar»), pero solo después de evaluar la solicitud HTTP a un Cloudflare Worker. El archivo RAR, una vez lanzado, aprovecha CVE-2023-38831 para ejecutar el malware COOKBOX.
El malware está diseñado para persistir en un host, sirviendo como un punto de apoyo en el dispositivo infectado. Una vez instalada, esta variante de COOKBOX realizará solicitudes al dominio DDNS postdock[.]serveftp[.]com para C2, esperando cmdlets de PowerShell que el malware ejecutará posteriormente, dijo Cloudflare.
La revelación también sigue a un informe de Flashpoint, que reveló que grupos rusos de amenazas persistentes avanzadas (APT) están evolucionando y refinando simultáneamente sus tácticas, así como ampliando sus objetivos. «Están utilizando nuevas campañas de spear-phishing para extraer datos y credenciales mediante la entrega de malware vendido en mercados ilícitos», dijo la compañía la semana pasada. «Las familias de malware más prevalentes utilizadas en estas campañas de spear-phishing fueron Agent Tesla, Remcos, SmokeLoader, Snake Keylogger y GuLoader.»
Vía The Hacker News
