Cloudforce One در اواخر ماه مِی ۲۰۲۴، اقداماتی را برای مختل نمودن فعالیتهای یک حمله فیشینگ یک ماهه به انجام رساند. این حمله فیشینگ توسط عوامل همسو با روسیه به نام FlyingYeti علیه اوکراین سازماندهی شده است و منجر به استقرار و توزیع بدافزار COOKBOX میشود.
با آغاز جنگ میان روسیه و اوکراین در بیست و چهارم فوریه 2022، اوکراین یک مهلت قانونی برای تسویه حساب سرویس آب و برق مشترکان بدهکار اعلام کرد. این مهلت در ژانویه 2024 به پایان رسید و منجر به بدهی قابل توجه و افزایش استرس مالی شهروندان اوکراینی شد.
گروه FlyingYeti با فریب دادن شهروندان برای باز کردن فایلهای مخرب با مضمون “بدهی“، از اضطراب ناشی از قطع دسترسی آنها به مسکن و خدمات آب و برق سوء استفاده کرد. این فایلها، آلوده به بدافزار PowerShell معروف به COOKBOX هستند و امکان نصب پیلودهای بیشتر و کنترل سیستم قربانی را برای مهاجم فراهم میآورند.
حملات قبلی فاش شده توسط آژانس امنیت سایبری شامل استفاده از پیوستهای مخرب ارسال شده از طریق اپلیکیشن پیامرسان فوری Signal به منظور ارائه COOKBOX، میباشد که قادر به بارگیری و اجرای cmdletها است.
آخرین حملات شناسایی شده توسط Cloudforce One در هجدهم آوریل 2024 شامل استفاده از Cloudflare Workers و GitHub در کنار بهره برداری از آسیب پذیری WinRAR (CVE-2023-38831 ) میباشد.
بدافزار COOKBOX عمدتاً به نفوذ بر نهادهای نظامی اوکراینی متمرکز است و از پلتفرمهای مبتنی بر ابر برای نمایش محتوای مخرب و به عنوان سرور فرماندهی و کنترل (C2[1]) استفاده میکند.
گیرندگان ایمیل در حمله اخیر، به کلیک بر روی صفحه GitHub که اکنون حذف شده است (komunalka.github[.] io) هدایت میشوند. این صفحه، یک صفحه جعلی مشابه وب سایت Kyiv Komunalka است و به قربانیان دستور میدهد تا یک فایل Microsoft Word (“Рахунок.docx”) را دانلود کنند.
کلیک بر روی دکمه دانلود، منجر به دانلود یک فایل آرشیو RAR (“Заборгованість по ЖКП.rar”) میگردد. فایل RAR پس از اجرا از آسیب پذیری CVE-2023-38831 برای استقرار و راه اندازی بدافزار COOKBOX استفاده میکند.
این بدافزار به گونهای طراحی شده است که بر روی میزبان (Host) باقی بماند و به عنوان یک نقطه دسترسی در سیستم تحت نفوذ عمل کند. این نوعِ بدافزار COOKBOX پس از نصب، درخواستهایی را به postdock[.]serveftp[.]com دامنه DDNS سرور C2 ارسال میکند و در انتظار cmdlet های PowerShell میماند تا بدافزار متعاقباً اجرا شود.
Cloudforce One از 26 آوریل 2024، اقداماتی را برای جلوگیری از فعالیت حملات فیشینگ FlyingYeti به انجام رسانده است. اقدامات متقابل Cloudforce شامل شناسایی و حذف کد و همچنین همکاری با نهادهای ثالث به منظور حذف این بدافزار میباشد.
Cloudflare اقدامات زیر را برای مقابله با این نوع فعالیت ها و کاهش آنها توصیه کرده است:
- معماری Zero Trust را پیاده سازی کنید.
- Cloud Email Security را برای اطمینان از محافظت از سرویسهای ایمیل در برابر حملات فیشینگ، BEC و سایر تهدیدات سایبری مستقر نمائید.
- از ایزوله کردن اینترنت (جداسازی مرورگر) با فناوری Browser Isolation برای جدا سازی اپلیکیشنهای پیامرسان مانند لینکدین، ایمیل و سیگنال از شبکه اصلی خود استفاده کنید.
- اسکن، نظارت و کنترل دادههای خاص و حساسی که در شبکه منتقل میشوند، ضروری است.
- آخرین بهروزرسانیهای امنیتی مربوط به سیستم عامل و نرم افزارها همچون WinRAR و Microsoft را دریافت و نصب کنید.
- از ورود فایلهای WinRAR به شبکه خود جلوگیری کنید.
- یک ابزار EDR یا تشخیص و پاسخ Endpoint مانند CrowdStrike یا Microsoft Defender را برای Endpoint خود پیاده سازی نمائید.
[1] command-and-control
