Cloudflare ha annunciato giovedì di aver adottato misure per interrompere una campagna di phishing durata un mese orchestrata da gruppo di criminali informatici che è allineato alla Russia e alle sue infrastrutture, chiamato FlyingYeti, che ha preso di mira le infrastrutture in Ucraina.
FlyingYeti: cosa ci dice Cloudflare della campagna di hacking
“La campagna FlyingYeti ha sfruttato l’ansia per la potenziale perdita di accesso ad alloggi e servizi pubblici, inducendo le vittime ad aprire file dannosi tramite esche a tema debito“, ha dichiarato il team di intelligence sulle minacce di Cloudflare, Cloudforce One, in un nuovo rapporto pubblicato oggi.
“Se aperti, i file provocavano l’infezione con il malware PowerShell noto come COOKBOX, permettendo a FlyingYeti di supportare obiettivi successivi, come l’installazione di ulteriori payload e il controllo sul sistema della vittima.”
Gli obiettivi di FlyingYeti
FlyingYeti è la denominazione utilizzata dalla società di infrastrutture web per tracciare un cluster di attività che il Computer Emergency Response Team dell’Ucraina (CERT-UA) sta monitorando con il nome UAC-0149.
Attacchi precedenti divulgati dall’agenzia di sicurezza informatica hanno coinvolto l’uso di allegati dannosi inviati tramite l’app di messaggistica istantanea Signal per distribuire COOKBOX, un malware basato su PowerShell capace di caricare ed eseguire cmdlet.
L’ultima campagna rilevata da Cloudforce One a metà aprile 2024 coinvolge l’uso di Cloudflare Workers e GitHub, insieme allo sfruttamento di una vulnerabilità di WinRAR tracciata come CVE-2023-38831.
La società ha descritto il gruppo di hacker come principalmente focalizzato a prendere di mira enti militari ucraini, aggiungendo che utilizza DNS dinamici (DDNS) per la loro infrastruttura e sfrutta piattaforme cloud per l’allestimento di contenuti dannosi e per scopi di comando e controllo (C2).
L’inganno di FlyingYeti: il link ingannevole
Un inganno tipico degli hacker è il link ingannevole e FlyingYeti in questo non è assolutamente da meno; i messaggi email sono stati osservati mentre utilizzavano esche relative alla ristrutturazione del debito e ai pagamenti per attirare i destinatari a cliccare su una pagina GitHub ora rimossa (komunalka.github[.]io) che impersonava il sito web di Kyiv Komunalka e li istruiva a scaricare un file Microsoft Word (“Рахунок.docx”).
Ma in realtà, cliccando sul pulsante di download nella pagina si otteneva un file di archivio RAR (“Заборгованість по ЖКП.rar”), ma solo dopo aver valutato la richiesta HTTP a un Cloudflare Worker. Il file RAR, una volta lanciato, sfruttava CVE-2023-38831 per eseguire il malware COOKBOX.
“Il malware è progettato per persistere su un host, fungendo da punto d’appoggio nel dispositivo infetto. Una volta installato, questa variante di COOKBOX farà richieste al dominio DDNS postdock[.]serveftp[.]com per il C2, in attesa di cmdlet PowerShell che il malware eseguirà successivamente“, ha dichiarato Cloudflare.
Ulteriori sviluppi
Lo sviluppo arriva mentre CERT-UA ha avvertito di un aumento degli attacchi di phishing da parte di un gruppo motivato finanziariamente noto come UAC-0006, progettati per distribuire il malware SmokeLoader, che viene poi utilizzato per implementare malware aggiuntivi come TALESHOT.
Le campagne di phishing hanno anche preso di mira organizzazioni finanziarie europee e statunitensi per distribuire un legittimo software di Remote Monitoring and Management (RMM) chiamato SuperOps, impacchettando il suo installer MSI all’interno di una versione trojanizzata del popolare gioco Minesweeper.
“Eseguire questo programma su un computer fornirà accesso remoto non autorizzato al computer a terze parti“, ha affermato CERT-UA, attribuendolo a un gruppo di criminali informatici chiamato UAC-0188.
La divulgazione segue anche un rapporto di Flashpoint, che ha rivelato che i gruppi di minacce persistenti avanzate (APT) russi stanno contemporaneamente evolvendo e affinando le loro tattiche, oltre a espandere i loro obiettivi.
“Stanno utilizzando nuove campagne di spear-phishing per esfiltrare dati e credenziali distribuendo malware venduto su mercati illeciti“, ha detto la società la scorsa settimana. “Le famiglie di malware più prevalenti utilizzate in queste campagne di spear-phishing erano Agent Tesla, Remcos, SmokeLoader, Snake Keylogger e GuLoader.“
