Cloudflare: Διακόπτει phishing εκστρατεία που στοχεύει την Ουκρανία
Η Cloudflare ανακοίνωσε ότι διέκοψε μια εκστρατεία phishing από το FlyingYeti, έναν απειλητικό παράγοντα που συνδέεται με τη Ρωσία και στόχευε την Ουκρανία.
Η εκστρατεία χρησιμοποίησε δολώματα με θέμα το χρέος για να προσελκύσει τα θύματα να ανοίξουν κακόβουλα αρχεία, οδηγώντας σε μόλυνση από το κακόβουλο λογισμικό COOKBOX. Αυτό το λογισμικό επιτρέπει επακόλουθες δραστηριότητες, όπως επιπρόσθετες εγκαταστάσεις κακόβουλου φορτίου και έλεγχο του συστήματος. Το FlyingYeti, που παρακολουθείται από το CERT-UA ως UAC-0149, είχε προηγουμένως χρησιμοποιήσει κακόβουλα επισυναπτόμενα αρχεία μέσω της εφαρμογής Signal για να παραδώσει το COOKBOX.
Η πιο πρόσφατη κακόβουλη εκστρατεία, που ανιχνεύθηκε στα μέσα Απριλίου 2024, εκμεταλλεύτηκε μια ευπάθεια του WinRAR (CVE-2023-38831) και αξιοποίησε τα Cloudflare Workers και το GitHub. Τα emails προέτρεπαν τους παραλήπτες να επισκεφθούν μια σελίδα στο GitHub, η οποία τώρα έχει αφαιρεθεί, που υποδυόταν τον ιστότοπο Kyiv Komunalka. Εκεί, τους ενθάρρυναν να κατεβάσουν ένα κακόβουλο αρχείο Microsoft Word, το οποίο στην πραγματικότητα περιείχε ένα αρχείο RAR με το κακόβουλο λογισμικό COOKBOX.
Η Cloudflare ανέφερε ότι το κακόβουλο λογισμικό έχει σχεδιαστεί για να παραμένει στη μολυσμένη συσκευή, επικοινωνώντας με έναν τομέα DDNS για σκοπούς εντολών και ελέγχου. Η εκστρατεία στόχευσε κυρίως στρατιωτικές οντότητες της Ουκρανίας, χρησιμοποιώντας πλατφόρμες βασισμένες στο cloud για να φιλοξενήσει κακόβουλο περιεχόμενο.
Το CERT-UA ανέφερε επίσης αύξηση στις επιθέσεις phishing από την ομάδα UAC-0006, η οποία διέδιδε το κακόβουλο λογισμικό SmokeLoader για να αναπτύξει επιπλέον απειλές όπως το TALESHOT. Οι phishing εκστρατείες έχουν επεκταθεί σε ευρωπαϊκούς και αμερικανικούς χρηματοοικονομικούς οργανισμούς, χρησιμοποιώντας τροποποιημένες εκδόσεις νόμιμου λογισμικού όπως το SuperOps για να αποκτήσουν μη εξουσιοδοτημένη απομακρυσμένη πρόσβαση.
Σύμφωνα με το Flashpoint, οι ρώσικες ομάδες APT συνεχίζουν να εξελίσσουν τις τακτικές τους, χρησιμοποιώντας εκστρατείες spear-phishing για την εξαγωγή δεδομένων και διαπιστευτηρίων με κακόβουλο λογισμικό όπως το Agent Tesla, το Remcos, το SmokeLoader, το Snake Keylogger και το GuLoader. Αυτές οι εξελίξεις υπογραμμίζουν τις διαρκώς αυξανόμενες και εξελισσόμενες απειλές στον κυβερνοχώρο από παράγοντες απειλών που συνδέονται με τη Ρωσία.
