Cloudforce One публікує результати нашого розслідування та заходів, вжитих у режимі реального часу, для виявлення, блокування, зменшення впливу, уповільнення та зриву зловмисної діяльності підтримуваної Росією хакерської групи FlyingYeti під час їхньої останньої фішингової кампанії проти України. Після вторгнення Росії 24 лютого 2022 року Україна запровадила мораторій на виселення з житла та припинення надання комунальних послуг через несплачену заборгованість. У січні 2024 року цей мораторій закінчився, що призвело до значної боргової відповідальності й посилення фінансового стресу для громадян України. Зловмисники, які організували кампанію FlyingYeti, скористались занепокоєнням громадян через можливу втрату доступу до житла й комунальних послуг і спонукали свої жертви відкривати шкідливі файли, використовуючи приманки, які мали вигляд пов’язаних із заборгованостями. Відкриття таких файлів призводило до встановлення шкідливої програми PowerShell, відомої як COOKBOX, що дозволяло FlyingYeti виконувати подальші дії, такі як додавання додаткових пейлоадів (корисних даних) і контроль над системою жертви.
З 26 квітня 2024 року спеціалісти Cloudforce One почали вживати заходів, щоб не дозволити FlyingYeti розпочати свою фішингову кампанію — кампанію, яка залучала компоненти Cloudflare Worker і ресурс GitHub, а також використовувала вразливість архіватора WinRAR CVE-2023-38831. Наші контрзаходи охоплювали дії на внутрішньому рівні, зокрема виявлення операцій і пошкодження коду, а також співпрацю з третіми сторонами для видалення шкідливого програмного забезпечення, розміщеного у хмарному середовищі зловмисників. Завдяки нашим ефективним протидіям оперативний графік цієї хакерської групи збільшився з кількох днів до кількох тижнів. Наприклад, в одному випадку через наше втручання FlyingYeti витратили майже вісім годин на виправлення свого коду. Вжиті нами проактивні захисні заходи не дозволили цим зловмисникам досягти своїх цілей.
Стислий виклад
18 квітня 2024 року спеціалісти Cloudforce One виявили, що підтримувана Росією хакерська група FlyingYeti готувалася розпочати шпигунську фішингову кампанію проти громадян України.
Ми з’ясували, що хакери використовували тактичні сценарії, технічні методи та процедури (TTP), подібні до тих, які докладно описані у статті команди реагування на надзвичайні комп’ютерні події України щодо UAC-0149, групи зловмисників, яка принаймні з осені 2023 року діє переважно проти представників Сил оборони України, використовуючи шкідливу програму COOKBOX.
З середини квітня до середини травня ми спостерігали, як FlyingYeti проводили розвідку, створювали контент-приманку для використання у фішинговій кампанії та розробляли різні ітерації свого шкідливого програмного забезпечення. За нашими оцінками, зловмисники планували розпочати свою кампанію на початку травня, імовірно, після православного Великодня.
Після кількох тижнів спостереження розвідувальної та підготовчої діяльності зловмисників (етапи Cyber Kill Chain 1 і 2) ми успішно зірвали робочі процеси групи FlyingYeti після створення остаточного пейлоаду COOKBOX.
Цей пейлоад містив експлойт для вразливості WinRAR CVE-2023-38831, яку FlyingYeti, імовірно, будуть надалі використовувати у своїх фішингових кампаніях для зараження жертв шкідливими програмами.
Ми пропонуємо заходи, яких користувачі можуть вжити для захисту від фішингових атак FlyingYeti, а також надаємо рекомендації, інформацію про виявлені випадки й індикатори компрометації.
Хто такі FlyingYeti?
FlyingYeti — це фіктивне ім’я, надане спеціалістами Cloudforce One групі зловмисників — організаторів цієї фішингової кампанії, яка дуже схожа на кібератаку UAC-0149, зафіксовану командою CERT-UA у лютому та квітні 2024 року. Для своєї інфраструктури зловмисники використовують динамічний DNS (DDNS), а також залучають хмарні платформи для розміщення шкідливого контенту й віддаленого керування шкідливим програмним забезпеченням (C2). Результати нашого дослідження тактичних сценаріїв, технічних методів і процедур FlyingYeti свідчать про те, що це, імовірно, російська хакерська група, діяльність якої насамперед спрямована проти українських військових. Крім того, у коді FlyingYeti були виявлені російськомовні коментарі, а години активності групи збігалися з часовим поясом UTC+3.
Загальні відомості про кампанію
Протягом кількох днів перед початком кампанії спеціалісти Cloudforce One спостерігали, як FlyingYeti проводили розвідку, вивчаючи процеси оплати за житлово-комунальні послуги в Україні:
22 квітня 2024 року — аналіз змін, які були впроваджені у 2016 році щодо використання QR-кодів у платіжних повідомленнях;
22 квітня 2024 року — аналіз поточних рішень щодо заборгованості за житлово-комунальні послуги в Україні;
25 квітня 2024 року — аналіз юридичної основи для реструктуризації боргів за житло в Україні, а також боргів за комунальні послуги, такі як газ та електроенергія.
Cloudforce One вважає, що зафіксована розвідувальна діяльність, імовірно, пов’язана з мораторієм на оплату, запровадженим урядом України на початку повномасштабного вторгнення в лютому 2022 року. Згідно з цим мораторієм, непогашена заборгованість не призводила до виселення чи припинення надання комунальних послуг. Однак 9 січня 2024 року уряд скасував цю заборону, що призвело до посилення тиску на українських громадян, які мають непогашену заборгованість. Хакери FlyingYeti прагнули скористатись цим тиском й залучили приманки, пов’язані з реструктуризацією боргу та платежів, щоб збільшити шанси на успіх своїх атак на українських громадян.
Аналіз фішингового вебсайту, схожого на ресурс «Комуналка»
Зірвана фішингова кампанія спрямовувала б жертв хакерів FlyingYeti на контрольовану ними сторінку на ресурсі GitHub за адресою hxxps[:]//komunalka[.]github[.]io, яка є фальшивою версією сайту для комунальних послуг «Київська комуналка» https://www.komunalka.ua. Сайт «Комуналка» виступає в ролі обробника платежів для жителів Київської області й дозволяє оплачувати комунальні послуги, такі як газ, електроенергія, телефон та Інтернет. До того ж користувачі можуть сплачувати інші комісії та штрафи, а також робити пожертви на потреби Сил оборони України.
Виходячи з попередніх операцій хакерів FlyingYeti, користувачі-жертви можуть бути спрямовані на сторінку групи на GitHub через посилання у фішинговому електронному листі або в зашифрованому повідомленні в месенджері Signal. Якщо жертва перейде на фальшиву платформу «Комуналка» hxxps[:]//komunalka[.]github[.]io, на сторінці відобразиться велика зелена кнопка з пропозицією завантажити документ «Рахунок.docx» («Invoice.docx»), як показано на зображенні 1. Ця кнопка маскується під посилання на рахунок простроченої оплати, але насправді призводить до завантаження шкідливого архіву «Заборгованість по ЖКП.rar».
Зображення 1. Пропозиція завантажити шкідливий архів «Заборгованість по ЖКП.rar»
Для завантаження потрібно виконати декілька дій.
Користувач-жертва натискає зелену кнопку на хакерській сторінці GitHub hxxps[:]//komunalka.github[.]io.
Пристрій користувача відправляє запит HTTP POST до компонента Cloudflare Worker worker-polished-union-f396[.]vqu89698[.]workers[.]dev, у якому для тіла запиту HTTP вказано «user=Iahhdr».
Cloudflare Worker обробляє цей запит та аналізує тіло запиту HTTP.
Якщо умови запиту виконуються, Worker отримує файл RAR від hxxps[:]//raw[.]githubusercontent[.]com/kudoc8989/project/main/Заборгованість по ЖКП.rar, який потім завантажується на пристрій цільового користувача.
Спеціалісти Cloudforce One визначили інфраструктуру, яка відповідала за завантаження шкідливого файлу RAR, й усунули пов’язаний із хакерами компонент Worker, не дозволивши FlyingYeti використати свої шкідливі інструменти. Намагаючись обійти заходи, впроваджені Cloudforce One, пізніше FlyingYeti змінили свій спосіб доставлення шкідливих програм. Замість того, щоб шкідливий файл RAR передавався через домен компонентів Worker, він завантажувався безпосередньо з GitHub.
Аналіз шкідливого файлу RAR
У процесі ліквідації загрози спеціалісти Cloudforce One отримали файл «Заборгованість по ЖКП.rar» і проаналізували цей шкідливий пейлоад. Завантажений архів RAR містить кілька файлів, зокрема файл, в імені якого є символ Юнікод «U+201F». На пристроях з операційною системою Windows цей символ відображається як пробіл і може використовуватися, щоб «приховати» розширення файлу додаванням зайвих пробілів між назвою файлу та його розширенням. Як виділено синім кольором на зображенні 2, цей хитро названий файл в архіві RAR виглядає як документ у форматі PDF, але насправді є шкідливим командним файлом CMD («Рахунок на оплату.pdf[символ Юнікод U+201F].cmd»).
Зображення 2. Файли в архіві RAR «Заборгованість по ЖКП.rar»
FlyingYeti додали до архіву безпечний файл PDF із таким самим ім’ям, що й командний файл CMD, але без символу Юнікод — «Рахунок на оплату.pdf». До того ж ім’я каталогу для розпакованого архіву також містило ім’я «Рахунок на оплату.pdf». Такий збіг імен безпечного файлу й каталогу дозволяє зловмисникам скористатися вразливістю WinRAR CVE-2023-38831. Точніше, коли архів містить безпечний файл із таким самим ім’ям, що й каталог, увесь контент каталогу відкривається програмою WinRAR, що призводить до виконання шкідливого файлу CMD. Іншими словами, коли користувач вважає, що відкриває безпечний файл PDF «Рахунок на оплату.pdf», запускається шкідливий командний файл CMD.
Файл CMD містить шкідливу програму FlyingYeti PowerShell, яка називається COOKBOX. Ця програма зберігається на хост-комп’ютері та виконує роль бази на зараженому пристрої. Після встановлення цей варіант COOKBOX буде відправляти запити на DDNS-домен postdock[.]serveftp[.]com для C2, очікуючи на команду PowerShell cmdlets, яку шкідлива програма згодом запустить.
Паралельно з COOKBOX відкриваються кілька документів-приманок, які містять приховані посилання для відстеження з використанням служби Canary Tokens. Перший документ, показаний нижче на зображенні 3, являє собою договір, згідно з яким буде реструктуризована заборгованість за житлово-комунальні послуги.
Зображення 3. Документ-приманка «Реструктуризація боргу за житлово-комунальні послуги.docx»
Другий документ (зображення 4) — це угода користувача з умовами використання платіжної платформи komunalka[.]ua.
Зображення 4. Документ-приманка «Угода користувача.docx»
Використання відповідних документів-приманок як частини діяльності з фішингу й передавання даних є спробою хакерів FlyingYeti надати більшої видимої легітимності своїм діям.
Тема фішингу, яку ми визначили в цій кампанії, імовірно, є однією з багатьох тем, використаних цією групою зловмисників у більшій операції, спрямованій на українські структури, зокрема на їхні сили оборони. Власне у зловмисній операції, яку ми детально описали в цьому блозі, використовується багато методів, ідентичних до задіяних у нещодавній кампанії FlyingYeti, яку було виявлено групою CERT-UA в середині квітня 2024 року. Тоді хакери використали приманки на тему ООН, у яких згадувались операції з підтримання миру, для атаки на українських військовослужбовців. Завдяки захисним діям Cloudforce One, описаним у наступному розділі, на момент публікації цю останню кампанію FlyingYeti вдалось попередити.
Обмеження діяльності хакерів FlyingYeti
Cloudforce One обмежили наслідки кампанії FlyingYeti, виконавши низку дій. Кожна дія ускладнювала хакерам подальше виконання своїх операцій. Оцінюючи, яку дію необхідно здійснити та з якою метою, ми ретельно зважили всі переваги й недоліки для забезпечення ефективної діючої стратегії протидії цій групі зловмисників. Наша загальна мета полягала у тому, щоб збільшити кількість часу, який хакери витрачали на розробку та проведення своєї кампанії.
Нам вдалося збільшити оперативний графік групи зловмисників із кількох годин до кількох тижнів. На кожному етапі протидії ми оцінювали результати своїх зусиль із послаблення наслідків кампанії, щоб переконатися, що хакери витратять ще більше часу на спроби її запустити. Наші заходи щодо зменшення ефективності атак дозволили зірвати діяльність цієї групи зловмисників, а в одному випадку їм довелось витратити вісім додаткових годин на виправлення коду.
Через наші проактивні захисні дії хакери FlyingYeti кілька разів адаптували свою тактику, намагаючись розпочати кампанію. Спочатку вони мали намір змусити компонент Cloudflare Worker отримати шкідливий файл RAR із ресурсу GitHub. Коли Cloudforce One заборонили використовувати Worker, зловмисники спробували створити додаткові компоненти Worker у новому обліковому записі. У відповідь ми деактивували всі компоненти Worker, через що зловмисникам необхідно було завантажувати файл RAR безпосередньо з GitHub. Cloudforce One повідомили про це спеціалістів GitHub, які видалили файл RAR і проєкт на GitHub, а також заблокували обліковий запис, який використовувався для розміщення файлу RAR. Після цього хакери FlyingYeti почали тестувати можливість розміщення файлу RAR на файлообмінних сайтах pixeldrain і Filemail, де ми зафіксували їхні спроби змінити посилання на фішинговий сайт «Комуналка» між наступними адресами:
hxxps://pixeldrain[.]com/api/file/ZAJxwFFX?download=one;
hxxps://1014.filemail[.]com/api/file/get?filekey=e_8S1HEnM5Rzhy_jpN6nL-GF4UAP533VrXzgXjxH1GzbVQZvmpFzrFA&pk_vid=a3d82455433c8ad11715865826cf18f6.
Ми повідомили GitHub про зміну тактики хакерів, після чого GitHub видалили фішинговий сайт «Комуналка». Проаналізувавши файли, розміщені на ресурсах pixeldrain і Filemail, ми визначили, що зловмисники завантажили фіктивні пейлоади, імовірно, щоб відстежувати доступ до своєї фішингової інфраструктури (Filemail реєструє IP-адреси, а обидва файлообмінні сайти надають інформацію про кількість переглядів і завантажень). На момент публікації ми не зафіксували, щоб FlyingYeti завантажували шкідливий файл RAR на будь-який із цих файлових хостингів, а також не виявили використання альтернативних методів фішингу або доставлення зловмисного програмного забезпечення.
Оперативний графік операцій FlyingYeti та наші відповідні обмежувальні дії наведені нижче.
Хронологія подій
| Date | Event Description |
|---|---|
| 2024-04-18 12:18 | Threat Actor (TA) creates a Worker to handle requests from a phishing site |
| 2024-04-18 14:16 | TA creates phishing site komunalka[.]github[.]io on GitHub |
| 2024-04-25 12:25 | TA creates a GitHub repo to host a RAR file |
| 2024-04-26 07:46 | TA updates the first Worker to handle requests from users visiting komunalka[.]github[.]io |
| 2024-04-26 08:24 | TA uploads a benign test RAR to the GitHub repo |
| 2024-04-26 13:38 | Cloudforce One identifies a Worker receiving requests from users visiting komunalka[.]github[.]io, observes its use as a phishing page |
| 2024-04-26 13:46 | Cloudforce One identifies that the Worker fetches a RAR file from GitHub (the malicious RAR payload is not yet hosted on the site) |
| 2024-04-26 19:22 | Cloudforce One creates a detection to identify the Worker that fetches the RAR |
| 2024-04-26 21:13 | Cloudforce One deploys real-time monitoring of the RAR file on GitHub |
| 2024-05-02 06:35 | TA deploys a weaponized RAR (CVE-2023-38831) to GitHub with their COOKBOX malware packaged in the archive |
| 2024-05-06 10:03 | TA attempts to update the Worker with link to weaponized RAR, the Worker is immediately blocked |
| 2024-05-06 10:38 | TA creates a new Worker, the Worker is immediately blocked |
| 2024-05-06 11:04 | TA creates a new account (#2) on Cloudflare |
| 2024-05-06 11:06 | TA creates a new Worker on account #2 (blocked) |
| 2024-05-06 11:50 | TA creates a new Worker on account #2 (blocked) |
| 2024-05-06 12:22 | TA creates a new modified Worker on account #2 |
| 2024-05-06 16:05 | Cloudforce One disables the running Worker on account #2 |
| 2024-05-07 22:16 | TA notices the Worker is blocked, ceases all operations |
| 2024-05-07 22:18 | TA deletes original Worker first created to fetch the RAR file from the GitHub phishing page |
| 2024-05-09 19:28 | Cloudforce One adds phishing page komunalka[.]github[.]io to real-time monitoring |
| 2024-05-13 07:36 | TA updates the github.io phishing site to point directly to the GitHub RAR link |
| 2024-05-13 17:47 | Cloudforce One adds COOKBOX C2 postdock[.]serveftp[.]com to real-time monitoring for DNS resolution |
| 2024-05-14 00:04 | Cloudforce One notifies GitHub to take down the RAR file |
| 2024-05-15 09:00 | GitHub user, project, and link for RAR are no longer accessible |
| 2024-05-21 08:23 | TA updates Komunalka phishing site on github.io to link to pixeldrain URL for dummy payload (pixeldrain only tracks view and download counts) |
| 2024-05-21 08:25 | TA updates Komunalka phishing site to link to FileMail URL for dummy payload (FileMail tracks not only view and download counts, but also IP addresses) |
| 2024-05-21 12:21 | Cloudforce One downloads PixelDrain document to evaluate payload |
| 2024-05-21 12:47 | Cloudforce One downloads FileMail document to evaluate payload |
| 2024-05-29 23:59 | GitHub takes down Komunalka phishing site |
| 2024-05-30 13:00 | Cloudforce One publishes the results of this investigation |
.tg {border-collapse:collapse;border-spacing:0;margin:0px auto;} .tg td{border-color:black;border-style:solid;border-width:1px;font-family:Arial, sans-serif;font-size:14px; overflow:hidden;padding:10px 5px;word-break:normal;} .tg th{border-color:black;border-style:solid;border-width:1px;font-family:Arial, sans-serif;font-size:14px; font-weight:normal;overflow:hidden;padding:10px 5px;word-break:normal;} .tg .tg-tlx9{background-color:#FFF;color:#333;text-align:center;vertical-align:top} .tg .tg-citn{background-color:#FFF;color:#333;text-align:left;vertical-align:top} .tg .tg-s1pt{background-color:#D9D9D9;color:#333;font-weight:bold;text-align:center;vertical-align:top} @media screen and (max-width: 767px) {.tg {width: auto !important;}.tg col {width: auto !important;}.tg-wrap {overflow-x: auto;-webkit-overflow-scrolling: touch;margin: auto 0px;}}
Дата
Опис події
18.04.2024 12:18
Зловмисники створюють компонент Worker для обробки запитів від фішингового сайту
18.04.2024 14:16
CVE-2023-38831
Description:winrar exploit detection
open suspios (.tar / .zip / .rar) and run this script to check it
function winrar-exploit-detect(){
$targetExtensions = @(".cmd" , ".ps1" , ".bat")
$tempDir = [System.Environment]::GetEnvironmentVariable("TEMP")
$dirsToCheck = Get-ChildItem -Path $tempDir -Directory -Filter "Rar*"
foreach ($dir in $dirsToCheck) {
$files = Get-ChildItem -Path $dir.FullName -File
foreach ($file in $files) {
$fileName = $file.Name
$fileExtension = [System.IO.Path]::GetExtension($fileName)
if ($targetExtensions -contains $fileExtension) {
$fileWithoutExtension = [System.IO.Path]::GetFileNameWithoutExtension($fileName); $filename.TrimEnd() -replace '\.$'
$cmdFileName = "$fileWithoutExtension"
$secondFile = Join-Path -Path $dir.FullName -ChildPath $cmdFileName
if (Test-Path $secondFile -PathType Leaf) {
Write-Host "[!] Suspicious pair detected "
Write-Host "[*] Original File:$($secondFile)" -ForegroundColor Green
Write-Host "[*] Suspicious File:$($file.FullName)" -ForegroundColor Red
# Read and display the content of the command file
$cmdFileContent = Get-Content -Path $($file.FullName)
Write-Host "[+] Command File Content:$cmdFileContent"
}
}
}
}
}
winrar-exploit-detectЗловмисники створюють фішинговий сайт komunalka[.]github[.]io на ресурсі GitHub
25.04.2024 12:25
Зловмисники створюють репозиторій GitHub для розміщення файлу RAR
DeviceProcessEvents
| where InitiatingProcessParentFileName has @"winrar.exe"
| where InitiatingProcessFileName has @"cmd.exe"
| project Timestamp, DeviceName, FileName, FolderPath, ProcessCommandLine, AccountName
| sort by Timestamp desc26.04.2024 07:46
Зловмисники оновлюють перший компонент Worker для обробки запитів від користувачів, які відвідують сайт komunalka[.]github[.]io
26.04.2024 08:24
| tstats `security_content_summariesonly` count min(_time) as firstTime max(_time) as lastTime from datamodel=Endpoint.Processes where Processes.parent_process_name=winrar.exe `windows_shells` OR Processes.process_name IN ("certutil.exe","mshta.exe","bitsadmin.exe") by Processes.dest Processes.user Processes.parent_process_name Processes.parent_process Processes.process_name Processes.process Processes.process_id Processes.parent_process_id
| `drop_dm_object_name(Processes)`
| `security_content_ctime(firstTime)`
| `security_content_ctime(lastTime)`
| `winrar_spawning_shell_application_filter`Зловмисники завантажують безпечний тестовий файл RAR до репозиторію GitHub
26.04.2024 13:38
Cloudforce One визначає компонент Worker, який отримує запити від користувачів, які відвідують сайт komunalka[.]github[.]io, фіксує його використання як фішингової сторінки
26.04.2024 13:46
Cloudforce One визначає, що Worker отримує файл RAR з ресурсу GitHub (шкідливий пейлоад RAR ще не розміщено на сайті)
26.04.2024 19:22
Cloudforce One створює засіб виявлення, щоб визначити компонент Worker, який отримує файл RAR
26.04.2024 21:13
Cloudforce One проводить моніторинг у реальному часі файлу RAR на GitHub
| Domain / URL | Description |
|---|---|
| komunalka[.]github[.]io | Phishing page |
| hxxps[:]//github[.]com/komunalka/komunalka[.]github[.]io | Phishing page |
| hxxps[:]//worker-polished-union-f396[.]vqu89698[.]workers[.]dev | Worker that fetches malicious RAR file |
| hxxps[:]//raw[.]githubusercontent[.]com/kudoc8989/project/main/Заборгованість по ЖКП.rar | Delivery of malicious RAR file |
| hxxps[:]//1014[.]filemail[.]com/api/file/get?filekey=e_8S1HEnM5Rzhy_jpN6nL-GF4UAP533VrXzgXjxH1GzbVQZvmpFzrFA&pk_vid=a3d82455433c8ad11715865826cf18f6 | Dummy payload |
| hxxps[:]//pixeldrain[.]com/api/file/ZAJxwFFX?download= | Dummy payload |
| hxxp[:]//canarytokens[.]com/stuff/tags/ni1cknk2yq3xfcw2al3efs37m/payments.js | Tracking link |
| hxxp[:]//canarytokens[.]com/stuff/terms/images/k22r2dnjrvjsme8680ojf5ccs/index.html | Tracking link |
| postdock[.]serveftp[.]com | COOKBOX C2 |
02.05.2024 06:35
Зловмисники розгортають інфікований файл RAR (CVE-2023-38831) на ресурсі GitHub, шкідлива програма COOKBOX запакована в архіві
06.05.2024 10:03
Зловмисники намагаються оновити компонент Worker, додавши інфікований файл RAR, цей Worker негайно блокується
06.05.2024 10:38
Зловмисники створюють новий компонент Worker, цей Worker негайно блокується
06.05.2024 11:04
Зловмисники створюють новий обліковий запис (№ 2) на Cloudflare
06.05.2024 11:06
Зловмисники створюють новий компонент Worker в обліковому записі № 2 (блокується)
06.05.2024 11:50
Зловмисники створюють новий компонент Worker в обліковому записі № 2 (блокується)
06.05.2024 12:22
Зловмисники створюють новий модифікований компонент Worker в обліковому записі № 2
06.05.2024 16:05
Cloudforce One блокує запуск компонента Worker в обліковому записі № 2
07.05.2024 22:16
Зловмисники помічають, що Worker заблокований, припиняють усі операції
07.05.2024 22:18
Зловмисники видаляють перший компонент Worker, створений для отримання файлу RAR з фішингової сторінки на GitHub
09.05.2024 19:28
Cloudforce One додає фішингову сторінку komunalka[.]github[.]io до свого списку моніторингу в реальному часі
13.05.2024 07:36
Зловмисники оновляють фішинговий сайт github.io, який тепер містить пряме посилання на файл RAR на GitHub
13.05.2024 17:47
Cloudforce One додає сервер керування й контролю програми COOKBOX postdock[.]serveftp[.]com до свого списку моніторингу перетворення DNS-імен
14.05.2024 00:04
Cloudforce One повідомляє GitHub про необхідність заблокувати файл RAR
15.05.2024 09:00
Профіль користувача, проєкт і посилання на файл RAR на ресурсі GitHub більше недоступні
21.05.2024 08:23
Зловмисники оновлюють фішинговий сайт «Комуналка» за адресою github.io, який тепер містить URL-посилання на файловий хостинг pixeldrain для завантаження фальшивого пейлоаду (pixeldrain відстежує лише кількість переглядів і завантажень)
21.05.2024 08:25
Зловмисники оновлюють фішинговий сайт «Комуналка», який тепер містить URL-посилання на файловий хостинг Filemail для завантаження фальшивого пейлоаду (Filemail відстежує не лише кількість переглядів і завантажень, а й IP-адреси)
21.05.2024 12:21
Cloudforce One завантажує документ із ресурсу pixeldrain для аналізу пейлоаду
21.05.2024 12:47
Cloudforce One завантажує документ із ресурсу Filemail для аналізу пейлоаду
29.05.2024 23:59
GitHub блокує фішинговий сайт «Комуналка»
30.05.2024 13:00
Cloudforce One публікує результати цього розслідування
Координація нашої протидії хакерам FlyingYeti
Cloudforce One використала свої відносини з представниками галузі, щоб надати завчасне попередження та зменшити ефективність дій зловмисників. Для забезпечення подальшого захисту намічених цільових об’єктів від цих фішингових атак спеціалісти Cloudforce One сповістили й тісно співпрацювали з командами, які займаються розвідкою загроз і забезпечують надійність і безпеку даних на ресурсі GitHub. До того ж ми сповістили команду CERT-UA й галузевих партнерів Cloudflare, таких як CrowdStrike, групи аналізу загроз Mandiant/Google Threat Intelligence і Microsoft Threat Intelligence.
Відстеження операцій групи FlyingYeti
Є кілька способів відстежувати діяльність хакерів FlyingYeti у вашому середовищі. Серед них використання PowerShell для пошуку файлів WinRAR, впровадження правил аналітики Microsoft Sentinel і запуск скриптів Splunk, як це докладніше описано нижче. Зауважте, що наведені вище дії з виявлення можуть ідентифікувати операції, пов’язані з цією загрозою, але також можуть ініціювати процеси, які не пов’язані з нею.
Відстеження з використанням PowerShell
Спробуйте запустити у своєму середовищі скрипт PowerShell, наприклад такий, щоб виявити використання вразливості CVE-2023-38831. Цей скрипт перевірить файли WinRAR на наявність ознак цього експлойту.
Microsoft Sentinel
У Microsoft Sentinel спробуйте впровадити наведене нижче правило, яке дозволяє ідентифікувати запуск WinRAR через файл cmd.exe. Результати, отримані після впровадження цього правила, можуть свідчити про активність атаки на кінцевій точці, і їх слід проаналізувати.
Splunk
У середовищі Splunk спробуйте використати цей скрипт, щоб виявити використання вразливості WinRAR CVE-2023-38831 на кінцевих точках Microsoft. Результати, отримані після виконання цього скрипту, можуть свідчити про наявність атаки на кінцевій точці, і їх слід проаналізувати.
Виявлення за допомогою рішення Cloudflare
Cloudflare Email Security
Користувачі рішення Cloudflare Email Security (CES) можуть виявити хакерську загрозу FlyingYeti за наступними процесами.
CVE-2023-38831
FLYINGYETI.COOKBOX
FLYINGYETI.COOKBOX.Launcher
FLYINGYETI.Rar
Рекомендації
Щоб зменшити ефективність подібних операцій, Cloudflare рекомендує виконати дії, наведені нижче.
Впровадьте основи архітектури Zero Trust:
Використовуйте рішення Cloud Email Security, щоб забезпечити захист поштових сервісів від фішингових атак, компрометації корпоративної пошти (BEC) та інших загроз.
Використовуйте ізоляцію браузера, щоб відокремити програми обміну повідомленнями, такі як LinkedIn, електронна пошта й Signal, від своєї основної мережі.
Перевіряйте, відстежуйте й контролюйте певні або конфіденційні дані, які передаються у вашому мережевому середовищі, використовуючи політики запобігання втраті даних.
Регулярно перевіряйте, чи встановлені у вашій системі останні оновлення безпеки для архіватора WinRAR і системи Microsoft.
Спробуйте заблокувати потрапляння файлів WinRAR у ваше середовище, як у рішенні Cloud Email Security, так і у шлюзі Інтернет-трафіку.
Запустіть інструмент виявлення й реагування на кінцевих точках (EDR), наприклад CrowdStrike або Microsoft Defender for Endpoint, щоб отримати інформацію про запуск бінарних файлів на хост-комп’ютерах.
Перевірте своє середовище на наявність наведених нижче індикаторів компрометації FlyingYeti, щоб визначити потенційну активність зловмисників у мережі.
Якщо вам потрібні додаткові дані розвідки загроз безпеки для своєї організації або необхідна спеціальна інформація розвідки загроз безпеки для того чи іншого інциденту, розгляньте можливість співпраці з Cloudforce One, зв’язавшись зі своїм менеджером по роботі з клієнтами або заповнивши цю форму.
Індикатори компрометації
.tg {border-collapse:collapse;border-spacing:0;margin:0px auto;} .tg td{border-color:black;border-style:solid;border-width:1px;font-family:Arial, sans-serif;font-size:14px; overflow:hidden;padding:10px 5px;word-break:normal;} .tg th{border-color:black;border-style:solid;border-width:1px;font-family:Arial, sans-serif;font-size:14px; font-weight:normal;overflow:hidden;padding:10px 5px;word-break:normal;} .tg .tg-px6y{background-color:#D9D9D9;font-weight:bold;text-align:center;vertical-align:top} .tg .tg-0lax{text-align:left;vertical-align:top} @media screen and (max-width: 767px) {.tg {width: auto !important;}.tg col {width: auto !important;}.tg-wrap {overflow-x: auto;-webkit-overflow-scrolling: touch;margin: auto 0px;}}
Ім’я файлу
Хеш SHA256
Опис
Заборгованість по ЖКП.rar
a0a294f85c8a19be048ffcc05ede6fd5a7ac5e2f0032a3ca0050dc1ae960c314
Архів RAR
Рахунок на оплату.pdf .cmd
0cca8f795c7a81d33d36d5204fcd9bc73bdc2af7de315c1449cbc3551ef4fb59
Приклад COOKBOX (міститься в архіві RAR)
Реструктуризація боргу за житлово комунальні послуги.docx
915721b94e3dffa6cef3664532b586be6cf989fec923b26c62fdaf201ee81d2c
Безпечний документ Word із посиланням для відстеження (міститься в архіві RAR)
Угода користувача.docx
79a9740f5e5ea4aa2157d9d96df34ee49a32e2d386fe55fedfd1aa33e151c06d
Безпечний документ Word із посиланням для відстеження (міститься в архіві RAR)
Рахунок на оплату.pdf
19e25456c2996ded3e29577b609de54a2bef90dad8f868cdad795c18df05a79b
Випадкові бінарні дані (містяться в архіві RAR)
Заборгованість по ЖКП станом на 26.04.24.docx
e0d65e2d36afd3db1b603f10e0488cee3f58ade24d8abc6bee240314d8696708
Випадкові бінарні дані (містяться в архіві RAR)
.tg {border-collapse:collapse;border-spacing:0;margin:0px auto;} .tg td{border-color:black;border-style:solid;border-width:1px;font-family:Arial, sans-serif;font-size:14px; overflow:hidden;padding:10px 5px;word-break:normal;} .tg th{border-color:black;border-style:solid;border-width:1px;font-family:Arial, sans-serif;font-size:14px; font-weight:normal;overflow:hidden;padding:10px 5px;word-break:normal;} .tg .tg-jut8{background-color:#CCC;font-weight:bold;text-align:center;vertical-align:top} .tg .tg-0lax{text-align:left;vertical-align:top} @media screen and (max-width: 767px) {.tg {width: auto !important;}.tg col {width: auto !important;}.tg-wrap {overflow-x: auto;-webkit-overflow-scrolling: touch;margin: auto 0px;}}
Домен/URL-адреса
Опис
komunalka[.]github[.]io
Фішингова сторінка
hxxps[:]//github[.]com/komunalka/komunalka[.]github[.]io
Фішингова сторінка
hxxps[:]//worker-polished-union-f396[.]vqu89698[.]workers[.]dev
Компонент Worker, який отримує шкідливий файл RAR
hxxps[:]//raw[.]githubusercontent[.]com/kudoc8989/project/main/Заборгованість по ЖКП.rar
Доставлення шкідливого файлу RAR
hxxps[:]//1014[.]filemail[.]com/api/file/get?filekey=e_8S1HEnM5Rzhy_jpN6nL-GF4UAP533VrXzgXjxH1GzbVQZvmpFzrFA&pk_vid=a3d82455433c8ad11715865826cf18f6
Фальшивий пейлоад
hxxps[:]//pixeldrain[.]com/api/file/ZAJxwFFX?download=
Фальшивий пейлоад
hxxp[:]//canarytokens[.]com/stuff/tags/ni1cknk2yq3xfcw2al3efs37m/payments.js
Посилання для відстеження
hxxp[:]//canarytokens[.]com/stuff/terms/images/k22r2dnjrvjsme8680ojf5ccs/index.html
Посилання для відстеження
postdock[.]serveftp[.]com
Сервер керування й контролю програми COOKBOX