云计算服务企业Cloudflare披露自今年4月出现的网络钓鱼攻击行动,俄罗斯黑客组织FlyingYeti(也被称为UAC-0149)针对乌克兰人们因政府的紧急命令即将到期,恢复收取积欠的公营业务费用,而可能面临庞大债务的情况,架设冒牌的基辅Komunalka社会住宅网站来引诱他们上当,而有可能导致计算机被部署PowerShell恶意程序CookBox,过程中对方滥用Cloudflare Workers与GitHub,以及WinRAR漏洞CVE-2023-38831。
4月18日,该公司旗下的威胁情报团队Cloudforce One侦测到FlyingYeti疑似准备发起攻击行动的迹象,经比对这些黑客曾使用乌克兰计算机紧急应变团队(CERT-UA)披露的攻击手法,去年秋季对当地国防机构传播CookBox。
后来研究人员进行关注,这些黑客在4月中旬至5月中旬进行侦察,创建网络钓鱼的诱饵内容,并着手开发恶意程序,当时他们推测,对方很有可能打算在东正教复活节后发动攻击。
而对于黑客准备的攻击链,研究人员指出,对方先是通过债务重组或是与付款相关的电子邮件,引诱收信人点击连接,并将他们带往架设在GitHub的冒牌Komunalka社会住宅付款网站,该网站指示收信人下载Word文件。
然而若是收信人照做,点击下载按钮,计算机就会向Cloudflare Worker发出HTTP POST请求,对方借此过滤目标,完成后下载RAR压缩文件到受害计算机。
此压缩文件内置数个文件,其中一个文件名带有大量Unicode字符U+201F,此字符在Windows操作系统显示为空格,攻击者这么做的目的,就是为了让收信人降低戒心,忽略此文件实际是CMD批次文件。
而这个压缩文件内置另一个无害的付款发票PDF文件,一旦收信人通过WinRAR打开压缩文件,并试图查看PDF文件,就会触发CVE-2023-38831,执行CMD文件,从而启动CookBox,而能让攻击者持续于受害计算机上活动。
值得留意的是,CMD文件还会打开压缩文件里的其他Word文件,这些文件内容看起来是乌克兰官方文件,很有可能是用来转移收信人的注意力。
对此,Cloudforce One采取反制行动,延后对方发动攻击的时间,他们先是封锁黑客使用的Cloudflare Worker,而对方企图新账号设置多个Cloudflare Worker,但后续皆遭到停用,导致黑客更改攻击链,由GitHub访问前述RAR文件。
研究人员向GitHub通报此事,该程序代码存储库下架相关项目,并移除钓渔网站。他们也提供PowerShell脚本,并对于Splunk、微软云计算安全资讯及事件管理(SIEM)平台Sentinel提供相关的侦测规则,来识别黑客黑客在受害计算机触发CVE-2023-38831的情况。
