Rusya bağlantılı tehdit grubu FlyingYeti’nin bir ay süren kimlik avı kampanyası, Cookbox kötü amaçlı yazılımını Ukrayna vatandaşlarına dağıtmak için WinRAR güvenlik açığından yararlanıyor.
Cloudforce One tehdit istihbarat ekibi bu hafta bir danışma belgesinde belirtildi Saldırının, ödenmemiş borçlar nedeniyle tahliyeler ve kamu hizmeti kesintilerine ilişkin hükümet moratoryumunun kaldırılmasının ardından Ukrayna vatandaşlarının mali sıkıntılarından yararlanmayı amaçladığı belirtildi.
Raporda, “FlyingYeti, Ukraynalı bireyleri başarılı bir şekilde hedef alma şanslarını artırmak amacıyla borç yeniden yapılandırmasından ve ödemeyle ilgili cazibelerden yararlanarak bu baskıdan yararlanmaya çalıştı” ifadesine yer verildi.
Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA) tarafından UAC-0149 olarak da bilinen FlyingYeti, daha önce öncelikle ülkenin askeri birimlerini hedef alıyordu ancak son harekâtta odağını sivil hedefleri de kapsayacak şekilde genişletti.
Kimlik avı operasyonları, Cloudforce One’ın FlyingYeti’nin hazırlıklarını tespit etmesiyle Nisan ortasında başladı.
Kötü Amaçlı Yazılım İstilası için Bir Tarif
Saldırganlar, kurbanları kötü amaçlı dosyaları açmaları için kandırmak amacıyla borç temalı yemleri kullandı. Dosyalar açıldığında kurbanın sistemine, ek kötü amaçlı komutlar ve yükler yürütebilen PowerShell tabanlı bir tehdit olan Cookbox kötü amaçlı yazılımını bulaştırdı.
FlyingYeti’nin kimlik avı e-postaları ve Signal mesajları, ülkenin konut idaresi Kiev Komunalka ve web sitesinin kimliğine bürünerek alıcıları bir Microsoft Word belgesi indirmeye teşvik etti ve bu belge daha sonra GitHub tarafından barındırılan bir siteden bir WinRAR arşiv dosyası aldı. WinRAR, Windows için bir dosya arşivleme aracıdır.
Bu dosya WinRAR güvenlik açığından yararlandı CVE-2023-38831 Cookbox kötü amaçlı yazılımını çalıştırmak için kullanıldı ve dosya uzantılarını gizlemek ve zararsız belgeler gibi görünmek için tasarlanmış olanlar da dahil olmak üzere birden fazla dosya içeriyordu.
Borç yeniden yapılandırma anlaşmalarına benzeyen bu sahte belgeler, kurban katılımını izlemek için Canary Token’larla izleme bağlantıları içeriyordu.
Raporda, kötü amaçlı yazılımın aynı zamanda kurbanın cihazında kalmak için kalıcılık tekniklerini kullandığı ve komuta ve kontrol (C2) amacıyla dinamik bir DNS (DDNS) alanıyla iletişim kurduğu belirtildi.
Kapsamlı Keşif Sonrası Cookbox Kötü Amaçlı Yazılımı Dağıtıldı
Cloudflare’in izlemesi, FlyingYeti’nin, ödeme yapmak için kullanılan QR kodlarını analiz etmek de dahil olmak üzere, Ukrayna’daki toplu konut ve kamu hizmetleri ödeme süreçleri hakkında kapsamlı bir keşif gerçekleştirdiğini ortaya çıkardı.
Kötü amaçlı yazılım dağıtım yöntemi, WinRAR dosyasını GitHub’dan almak için başlangıçta Cloudflare’in sunucusuz bilgi işlem platformu Workers’tan yararlandı.
Şirket bu yöntemi ortaya çıkardığında operasyonu kapatabileceklerini ancak FlyingYeti’nin kötü amaçlı yazılımı doğrudan GitHub’da barındırarak adapte olduğunu belirtti.
Cloudflare’in çabaları arasında GitHub’a bildirimde bulunulması da vardı; bu da kimlik avı sitesinin, WinRAR dosyasının kaldırılmasına ve ilgili hesabın askıya alınmasına yol açtı.
Bu, FlyingYeti’yi çevrimiçi dosya paylaşım hizmetleri Pixeldrain ve Filemail dahil olmak üzere diğer alternatif barındırma çözümlerine geçmeye zorladı.
Yine de Cloudflare’in sürekli kesinti çabaları, saldırının yürütme süresini uzattı ve saldırganları sürekli olarak taktiklerini uyarlamaya zorladı, bu da kötü niyetli aktörlerin şimdilik kampanyadan vazgeçmesiyle sonuçlandı.
Ancak FlyingYeti kolayca yeniden ortaya çıkabilir: Ukrayna hedef alındı Rusya ile devam eden savaş sırasında çeşitli tehdit aktörleri tarafından, en son olarak da saldırganlar aracılığıyla eski bir Microsoft Office RCE istismarını kullanma 2017’den itibaren başlangıç vektörü olarak.
Sıfır Güveni Uygulayın, EDR’yi Çalıştırın
Raporda Cloudflare, potansiyel kimlik avı tehditlerini azaltmak için birkaç temel güvenlik adımı önerdi: sıfır güven mimarisini uygulamak temeller.
Raporda “Sistemlerinizde en son WinRAR ve Microsoft güvenlik güncellemelerinin yüklü olduğundan emin olun” ifadesine yer verildi. “WinRAR dosyalarının hem Bulut E-posta Güvenliği çözümünüzde hem de İnternet Trafik Ağ Geçidinizde ortamınıza girmesini engellemeyi düşünün.”
Ek e-posta güvenlik önlemi, kimlik avına karşı korumaya odaklanmalıdır. iş e-postası ihlali (BEC)ve diğer tehditler, tarayıcı yalıtımından yararlanırken LinkedIn, e-posta ve Signal gibi mesajlaşma uygulamalarını ana ağdan ayırabilir.
Ayrıca, veri kaybını önleme politikalarıyla ağ ortamınızda dolaşan belirli veya hassas verilerin taranması, izlenmesi ve bunlar üzerinde kontrollerin uygulanması da önerildi.
Örneğin Uç Nokta için Microsoft Defender gibi bir uç nokta algılama ve yanıt (EDR) aracının çalıştırılması, ana bilgisayarlarda ikili yürütmenin görünürlüğünü sağlayabilir.
Son olarak, ağda FlyingYeti’nin raporda yer alan güvenlik ihlali göstergelerinin (IOC’ler) aranması, olası kötü amaçlı etkinliklerin belirlenmesine yardımcı olabilir.