Una campaña de phishing de un mes de duración realizada por el grupo de amenazas FlyingYeti, alineado con Rusia, utilizó una vulnerabilidad en WinRAR para distribuir el malware Cookbox a ciudadanos ucranianos.
El equipo de inteligencia de amenazas de Cloudforce One dijo en un aviso esta semana que el ataque tenía como objetivo explotar las dificultades económicas que enfrentan los ucranianos tras el levantamiento de la moratoria del gobierno sobre los desalojos y los cortes de servicios públicos debido a deudas impagas.
“Flying Yeti utilizó la reestructuración de la deuda y los incentivos relacionados con los pagos para aprovechar esa presión y aumentar su tasa de éxito al atacar a los ucranianos”, dice el informe.
FlyingYeti, también conocido como UAC-0149 por el Equipo Ucraniano de Respuesta a Emergencias Informáticas (CERT-UA), anteriormente se había dirigido principalmente a organizaciones militares ucranianas, pero sus últimos ataques han ampliado su alcance para incluir a civiles.
El ataque de phishing comenzó a mediados de abril cuando Cloudforce One detectó los preparativos de FlyingYeti.
Receta para la infección de malware
Los atacantes utilizaron señuelos con temas de deuda para engañar a las víctimas para que abrieran archivos maliciosos. Una vez que se abrió el archivo, el sistema de la víctima quedó infectado con el malware Cookbox. Esta es una amenaza basada en PowerShell que puede ejecutar comandos o cargas maliciosas adicionales.
Los correos electrónicos de phishing y los mensajes de Signal de FlyingYeti se hacían pasar por Kyiv Housing Corporation y su sitio web, lo que solicitaba a los destinatarios que descargaran un documento de Microsoft Word y luego recuperaran un archivo WinRAR de un sitio alojado en GitHub. WinRAR es una utilidad de archivo de archivos para Windows.
Este archivo contiene varios archivos, incluido uno diseñado para explotar la vulnerabilidad WinRAR CVE-2023-38831 para ejecutar el malware Cookbox y ocultar la extensión del archivo para que aparezca como un documento inofensivo.
Estos documentos señuelo, que parecían ser acuerdos de reestructuración de deuda, contenían enlaces de seguimiento de tokens Canary para monitorear la participación de las víctimas.
El informe señala que el malware se comunicaba con dominios DNS dinámicos (DDNS) con fines de comando y control (C2) y también utilizaba técnicas de persistencia para permanecer en los dispositivos de las víctimas.
El malware Cookbox se implementa después de un reconocimiento exhaustivo
La vigilancia de Cloudflare reveló que FlyingYeti llevó a cabo un reconocimiento exhaustivo del complejo de apartamentos ucraniano y del proceso de pago de servicios públicos, incluido el análisis de los códigos QR utilizados para los pagos.
El malware se entregó inicialmente utilizando la plataforma informática sin servidor Workers de Cloudflare para recuperar archivos WinRAR de GitHub.
La compañía dijo que podría haber detenido el ataque una vez que descubrió la técnica, pero FlyingYeti respondió alojando el malware directamente en GitHub.
Los esfuerzos de Cloudflare también incluyeron una notificación a GitHub, lo que resultó en la eliminación del sitio de phishing y los archivos WinRAR y la suspensión de las cuentas asociadas.
Esto obligó a FlyingYeti a pasar a otras soluciones de alojamiento alternativas, como los servicios para compartir archivos en línea Pixeldrain y Filemail.
Aún así, los continuos esfuerzos de sabotaje de Cloudflare han aumentado los tiempos de ejecución de los ataques y han obligado a los atacantes a cambiar de táctica repetidamente, lo que ha provocado que los actores maliciosos informen que han abandonado sus ataques por ahora.
Pero hay muchas posibilidades de que FlyingYeti vuelva a aparecer. Mientras Ucrania continúa su guerra con Rusia, ha sido atacada por una variedad de actores de amenazas, más recientemente por atacantes que utilizaron un antiguo exploit RCE de Microsoft Office de 2017 como vector inicial.
Implemente confianza cero y ejecute EDR
En el informe, Cloudflare recomendó varios pasos de seguridad básicos para mitigar posibles amenazas de phishing, comenzando con la implementación de una base arquitectónica Zero Trust.
“Asegúrese de que su sistema tenga instaladas las últimas actualizaciones de seguridad de WinRAR y Microsoft”, señala el informe. “Considere utilizar tanto su solución de seguridad de correo electrónico en la nube como su puerta de enlace de tráfico de Internet para evitar que los archivos WinRAR entren en su entorno”.
Si bien las medidas de seguridad de correo electrónico adicionales deberían centrarse en la protección contra el phishing, el compromiso del correo electrónico empresarial (BEC) y otras amenazas, aprovechar el aislamiento del navegador puede ayudar a proteger las aplicaciones de mensajería como LinkedIn, el correo electrónico y Signal para que puedan separarse de la red principal.
También se recomendó que se utilicen políticas de prevención de pérdida de datos para escanear, monitorear y controlar datos específicos y confidenciales que pasan a través del entorno de red.
La ejecución de una herramienta de respuesta y detección de puntos finales (EDR), como Microsoft Defender para Endpoint, proporciona visibilidad de la ejecución binaria en el host.
Finalmente, buscar en su red los indicadores de compromiso (IOC) de FlyingYeti enumerados en el informe puede ayudarlo a identificar posibles actividades maliciosas.
Fuente: https://www.darkreading.com/cyberattacks-data-breaches/flyingyeti-apt-cookbox-malware-winrar
