Rusya’nın 24 Şubat 2022’de Ukrayna’yı işgal etmesinden bu yana uluslar arasında ve dünya çapında yoğun gerilimler yaşanıyor.
Bu olayın ardından Ukrayna, ödenmemiş borçlar nedeniyle kamu hizmetlerine Ocak 2024’te sona erecek bir tahliye ve fesih moratoryumu uyguladı.
Ancak bu dönem “FlyingYeti” olarak tanımlanan bir tehdit aktörü tarafından kullanıldı.
Bu tehdit aktörü, Ukrayna vatandaşlarının ödenmemiş borç ve olası konut erişimi kaybı konusundaki endişelerini kullanarak, kurbanları sistemlerine kötü amaçlı yazılım indirme potansiyeline sahip bir dosya indirmeye ikna etmek için borç temalı bir kimlik avı kampanyası yürüttü.
Bu kötü amaçlı yazılım, “COOKBOX” olarak bilinen ve bu tehdit aktörlerinin ek yükler yüklemesine ve kurbanın sistemi üzerinde kontrol sahibi olmasına olanak tanıyan bir PowerShell kötü amaçlı yazılımıydı.
Ayrıca kimlik avı kampanyasında GitHub sunucuları ve Cloudflare çalışanlarının yanı sıra bir WinRAR güvenlik açığı (CVE-2023-38831) kullanıldı.
Tehdit Aktörü Analizi
Cyber Security News ile paylaşılan raporlara göre, FlyingYeti tehdit aktörünün faaliyetleri, 2023 sonbaharında Ukrayna Savunma kuruluşlarını aynı kötü amaçlı yazılımla hedef alan, daha önce tanımlanan UAC-0149 olarak bilinen bir tehdit aktörüyle örtüşüyor.
FlyingYeti tehdit aktörünün, 2024 yılının nisan ayının ortasından mayıs ayının ortasına kadar, kurbanlarına karşı Paskalya sırasında başlatılması planlanan bir kampanyada kullanılması muhtemel bir keşif faaliyeti yürüttüğü gözlemlendi.
Bu tehdit aktörü, altyapıları için dinamik DNS kullanıyor ve kötü amaçlı yazılımlarını ve C2 sunucularını barındırmak için bulut tabanlı platformlar kullanıyor.
FlyingYeti büyük olasılıkla öncelikle Ukrayna Askeri Kuruluşlarını hedef almaya odaklanan Rusya bağlantılı tehdit gruplarına atfediliyor.
Bu atıf, Rus dilinde yazılan kodlardaki yorumlar ve bu tehdit aktörünün çalışma saatlerinin UTC +3 Saat diliminde gerçekleşmesi (bu saat diliminde 3 Rus Yeri bulunmaktadır) nedeniyle spekülasyona yol açmıştır.
Kampanya Analizi
Nisan ayında gözlemlenen keşif faaliyeti, Ukrayna’daki toplu konut ve kamu hizmetlerine ilişkin ödeme süreçlerini hedef alıyordu.
22 Nisan 2024 tarihli ankette, 2016 yılında ödeme bildirimlerinde QR kodların kullanılmaya başlanmasıyla yapılan değişiklikler hedef alındı.
Aynı gün Ukrayna’da konut ve kamu hizmeti borçlarına ilişkin güncel gelişmelere ilişkin de keşif yapıldı.
25 Nisan 2024’te yapılan keşif faaliyeti, Ukrayna’daki konut borcunun yeniden yapılandırılmasının yasal dayanağı ile gaz ve elektrik gibi kamu hizmetlerini içeren borçla ilgiliydi.
Bu faaliyetler muhtemelen Ukraynalılara karşı daha yüksek başarı şansına sahip olan ödemeyle ilgili cazibelerden kaynaklanıyordu.
Kimlik Avı Kampanyası ve RAR Kötü Amaçlı Yazılım Analizi
Cloudflare’deki araştırmacılar, Paskalya için gerçekleştirilmek üzere olan kimlik avı kampanyasını sekteye uğrattı.
Kimlik avı kampanyası kodu analiz edildiğinde, tehdit aktörlerinin Kiev sakinleri için ödeme işlemcisi işlevi gören Kiev Komunalka ortak konut sitesinin sahte bir versiyonunu kullandıkları tespit edildi.
Hepsi Bir Arada Siber Güvenlik Platformu MSP’lerin tek bir araçla tam ihlal koruması sağlaması için Tam Demoyu İzleyin
Kiev Komunalka, kullanıcıların gaz, elektrik, telefon, internet, ücretler ve para gibi hizmetlerin yanı sıra Ukrayna savunma güçlerine bağış yapmalarına da olanak tanıyor.
Kimlik avı kampanyası, kimlik avı e-postası veya muhtemelen GitHub sayfa bağlantısını içeren şifreli bir sinyal mesajı yoluyla yürütülmek üzereydi.
Bu sayfa, mağdurlar tarafından ziyaret edildiğinde, kullanıcıları “Рахунок.docx” (“Invoice.docx”) adı altında ödeme faturası belgesini indirmeye yönlendirecek büyük yeşil bir düğme görüntüleyecektir.
Ancak başlangıçta düğme, “Konut ve kamu hizmetleri için borç.rar” adlı kötü amaçlı bir RAR arşivini indirecektir.
Bu RAR arşivi, dosya adı ile uzantı arasında boşluk olarak görünen “U+201F” Unicode karakterini içeren adı taşıyan bir dosya da dahil olmak üzere birden fazla dosya içerecektir.
Bu dosya aslında kötü amaçlı bir CMD dosyası olan bir PDF belgesi olarak görünür (“Ödeme Makbuzu.pdf[unicode character U+201F].cmd”).
.webp)
Bu RAR, sıkıştırması açıldığında, WinRAR’ın CVE-2023-38831 güvenlik açığından yararlanacak olan kötü amaçlı PDF dosyasını çıkaracaktır.
Son olarak, bilgisayarda kalmaya devam edecek olan COOKBOX PowerShell kötü amaçlı yazılımı yürütülür ve tehdit aktörlerinin etkilenen cihaza kalıcı erişim elde etmesine olanak tanır.
Bu COOKBOX kötü amaçlı yazılımı yüklendiğinde, DDNS alan adı postdock’una isteklerde bulunacaktır.[.]Serveftp[.]C2 için com, kötü amaçlı yazılımın daha sonra çalıştıracağı PowerShell cmdlet’lerini bekliyor.
Ayrıca RAR arşivinde sahte belge görevi gören ek belgeler de mevcuttu. Bu belgeler Canary Tokens hizmetini kullanan gizli izleme bağlantılarını içerecektir.
.webp)
Uzlaşma Göstergeleri
| Dosya adı | SHA256 Karma | Tanım |
| Housing.rar’daki borç | a0a294f85c8a19be048ffcc05ede6fd5a7ac5e2f0032a3ca0050dc1ae960c314 | RAR arşivi |
| Ödeme faturası.pdf .cmd | 0cca8f795c7a81d33d36d5204fcd9bc73bdc2af7de315c1449cbc3551ef4fb59 | COOKBOX Örneği (RAR arşivinde bulunur) |
| Konut ve toplumsal hizmetlere yönelik borçların yeniden yapılandırılması.docx | 915721b94e3dffa6cef3664532b586be6cf989fec923b26c62fdaf201ee81d2c | İzleme Bağlantılı İyi Amaçlı Word Belgesi (RAR arşivinde bulunur) |
| Kullanıcı sözleşmesi.docx | 79a9740f5e5ea4aa2157d9d96df34ee49a32e2d386fe55fdfd1aa33e151c06d | İzleme Bağlantılı İyi Amaçlı Word Belgesi (RAR arşivinde bulunur) |
| Ödeme faturası.pdf | 19e25456c2996ded3e29577b609de54a2bef90dad8f868cdad795c18df05a79b | Rastgele İkili Veri (RAR arşivinde bulunur) |
| 26.04.24.docx itibarıyla konut borcu | e0d65e2d36afd3db1b603f10e0488cee3f58ade24d8abc6bee240314d8696708 | Rastgele İkili Veri (RAR arşivinde bulunur) |
| Etki alanı / URL | Tanım |
| Komunalka[.]github[.]io | Kimlik avı sayfası |
| hxxps[:]//github[.]com/komunalka/komunalka[.]github[.]io | Kimlik avı sayfası |
| hxxps[:]//işçi-cilalı-sendika-f396[.]vqu89698[.]işçiler[.]geliştirici | Kötü amaçlı RAR dosyasını getiren çalışan |
| hxxps[:]//çiğ[.]githubusercontent[.]com/kudoc8989/project/main/ Housing.rar’da borç | Kötü amaçlı RAR dosyasının teslimi |
| hxxps[:]//1014[.]dosya postası[.]com/api/file/get?filekey=e_8S1HEnM5Rzhy_jpN6nL-GF4UAP533VrXzgXjxH1GzbVQZvmpFzrFA&pk_vid=a3d82455433c8ad11715865826cf18f6 | Sahte yük |
| hxxps[:]//pixeldrain[.]com/api/file/ZAJxwFFX?download= | Sahte yük |
| hxxp[:]//kanarya belirteçleri[.]com/stuff/tags/ni1cknk2yq3xfcw2al3efs37m/payments.js | İzleme bağlantısı |
| hxxp[:]//kanarya belirteçleri[.]com/stuff/terms/images/k22r2dnjrvjsme8680ojf5ccs/index.html | İzleme bağlantısı |
| rıhtım sonrası[.]Serveftp[.]iletişim | PİŞİRME KUTUSU C2 |
ANY.RUN Sandbox’tan özel teklifler alın. 31 Mayıs’a kadar 6 aylık ücretsiz hizmet veya ekstra lisans alın. Ücretsiz kaydol.