خانه » توزیع بدافزار COOKBOX توسط گروه FlyingYeti در اوکراین

توزیع بدافزار COOKBOX توسط گروه FlyingYeti در اوکراین

توسط Vulnerbyte
92 بازدید
بدافزار COOKBOX - گروه FlyingYeti - اوکراین

Cloudforce One در اواخر ماه مِی ۲۰۲۴، اقداماتی را برای مختل نمودن فعالیت‌های یک حمله فیشینگ یک ماهه به انجام رساند. این حمله فیشینگ توسط عوامل همسو با روسیه به نام FlyingYeti علیه اوکراین سازماندهی شده است و منجر به استقرار و توزیع بدافزار COOKBOX می‌شود.

با آغاز جنگ میان روسیه و اوکراین در بیست و چهارم فوریه 2022، اوکراین یک مهلت قانونی برای تسویه حساب سرویس آب و برق مشترکان بدهکار اعلام کرد. این مهلت در ژانویه 2024 به پایان رسید و منجر به بدهی قابل توجه و افزایش استرس مالی شهروندان اوکراینی شد.

گروه FlyingYeti با فریب دادن شهروندان برای باز کردن فایل‌های مخرب با مضمون “بدهی“، از اضطراب ناشی از قطع  دسترسی آنها به مسکن و خدمات آب و برق سوء استفاده کرد. این فایل‌ها، آلوده به بدافزار PowerShell معروف به COOKBOX هستند و امکان نصب پیلودهای بیشتر و کنترل سیستم قربانی را برای مهاجم فراهم می‌آورند.

حملات قبلی فاش شده توسط آژانس امنیت سایبری شامل استفاده از پیوست‌های مخرب ارسال شده از طریق اپلیکیشن پیام‌رسان فوری Signal به منظور ارائه COOKBOX، می‌باشد که قادر به بارگیری و اجرای cmdlet‌ها است.

آخرین حملات شناسایی شده توسط Cloudforce One در هجدهم آوریل 2024 شامل استفاده از Cloudflare Workers و GitHub در کنار بهره برداری از آسیب پذیری WinRAR (CVE-2023-38831 ) می‌باشد.

بدافزار COOKBOX عمدتاً به نفوذ بر نهادهای نظامی اوکراینی متمرکز است و از پلتفرم‌های مبتنی بر ابر برای نمایش محتوای مخرب و به عنوان سرور فرماندهی و کنترل (C2[1]) استفاده می‌کند.

گیرندگان ایمیل در حمله اخیر، به کلیک بر روی صفحه GitHub که اکنون حذف شده است (komunalka.github[.] io) هدایت می‌شوند. این صفحه، یک صفحه جعلی مشابه وب ‌سایت Kyiv Komunalka است و به قربانیان دستور می‌دهد تا یک فایل Microsoft Word (“Рахунок.docx”) را دانلود کنند.

کلیک بر روی دکمه دانلود، منجر به دانلود یک فایل آرشیو RAR (“Заборгованість по ЖКП.rar”) می‌گردد. فایل RAR پس از اجرا از آسیب پذیری CVE-2023-38831 برای استقرار و راه اندازی بدافزار COOKBOX استفاده می‌کند.

این بدافزار به گونه‌ای طراحی شده است که بر روی میزبان (Host) باقی بماند و به‌ عنوان یک نقطه دسترسی در سیستم تحت نفوذ عمل ‌کند. این نوعِ بدافزار COOKBOX پس از نصب، درخواست‌هایی را به postdock[.]serveftp[.]com دامنه DDNS سرور C2 ارسال می‌کند و در انتظار cmdlet های PowerShell می‌ماند تا بدافزار متعاقباً اجرا شود.

Cloudforce One از 26 آوریل 2024، اقداماتی را برای جلوگیری از فعالیت حملات فیشینگ FlyingYeti به انجام رسانده است. اقدامات متقابل Cloudforce  شامل شناسایی و حذف کد و همچنین همکاری با نهادهای ثالث به منظور حذف این بدافزار می‌باشد.

Cloudflare اقدامات زیر را برای مقابله با این نوع فعالیت ها و کاهش آنها توصیه کرده است:

  • معماری Zero Trust را پیاده سازی کنید.
  • Cloud Email Security را برای اطمینان از محافظت از سرویس‌های ایمیل در برابر حملات فیشینگ، BEC و سایر تهدیدات سایبری مستقر نمائید.
  • از ایزوله کردن اینترنت (جداسازی مرورگر) با فناوری Browser Isolation برای جدا سازی اپلیکیشن‌های پیام‌رسان مانند لینکدین، ایمیل و سیگنال از شبکه اصلی خود استفاده کنید.
  • اسکن، نظارت و کنترل‌ داده‌های خاص و حساسی که در شبکه منتقل می‌شوند، ضروری است.
  • آخرین به‌روزرسانی‌های امنیتی مربوط به سیستم عامل و نرم افزارها همچون WinRAR و Microsoft را دریافت و نصب کنید.
  • از ورود فایل‌های WinRAR به شبکه خود جلوگیری کنید.
  • یک ابزار EDR یا تشخیص و پاسخ Endpoint مانند CrowdStrike یا Microsoft Defender را برای Endpoint خود پیاده سازی نمائید.

 

[1] command-and-control

 

منابع

همچنین ممکن است دوست داشته باشید

پیام بگذارید