CloudFlare的威胁情报团队声称已经挫败了针对乌克兰的长达一个月的网络钓鱼和间谍攻击,并将其归咎于与俄罗斯结盟的帮派FlyingYeti.
尽管这支团队通常以乌克兰军方为目标,但这支钓鱼探险队针对的是经济拮据的公民,他们受益于政府暂停驱逐和切断未偿债务的公用事业连接,这项行动于今年1月结束.
Cloudflare的安全团队Cloudforce One的负责人布莱克·达奇表示,很难说有多少受害者是犯罪分子故意钓鱼的.
达奇告诉《纪事报》:“鉴于我们在威胁参与者成功感染目标受害者之前阻止了他们,我们不知道攻击的全部范围.
”“然而,根据使用的诱饵和对整个基辅地区Komunalka[Комуналка]支付平台的模拟,我们可以推断,目标基础可能是巨大的.
”尽管之前的FlyingYeti战役主要针对乌克兰国防部队,但这一次采取了略有不同的方法,达奇观察到.
“在这场战役中,有两种潜在的目标技术,如果成功,这两种技术都会产生重大影响,”他指出.
“最有可能的是,目标从一开始就是有选择性的,最初的感染媒介只被发送到高价值的目标.
”达奇解释说,第二种技术最初针对的是更广泛的群体--可能是基辅的所有居民.
他解释说,使用这种方法,“成功感染病毒很可能会导致威胁分子将目标缩小到军事实体等高价值目标,以获取后续有效载荷.
”Cloudforce One发现FlyingYeti正在为4月18日的袭击做准备,并在5月中旬监控了FlyingYeti的准备工作.
俄罗斯机组人员对乌克兰公共住房和公用事业服务的付款流程进行了侦察,研究了付款通知中使用的二维码,并调查了该国住房和公用事业债务的当前事态发展和法律问题.
根据Cloudforce One的说法,该团伙打算在5月初东正教复活节之后发动袭击.
威胁猎人的假设是,这场行动旨在利用乌克兰政府在2022年2月俄罗斯非法入侵开始时实施的暂停向平民支付租金的禁令.
然而,1月9日,政府解除了这项禁令,导致在战争期间积累了大量债务的乌克兰公民面临更大的经济压力.
威胁猎人周四透露,“FlyingYeti试图利用这种压力,利用债务重组和与付款相关的诱饵,试图增加他们成功瞄准乌克兰个人的机会.
”FlyingYeti随后在GitHub上创建了一个钓鱼网站-komunalka[.
]GitHub[.
]io-以及一个GitHub Repo来托管一个充满恶意软件的RAR档案.
这个由犯罪分子控制的网站是合法的基辅Komunalka公共住房门户网站的欺骗版本-www.w[.]komunalka[.
]UA-受害者可能会在钓鱼电子邮件或信号消息中收到GitHub页面的链接.
一旦个人点击该链接,他们就会被提示下载一个虚假的发票文档,其中会丢弃一个恶意的RAR文件.
该攻击的最初迭代使用了Cloudflare Worker--该公司的无服务器功能平台--从GitHub获取RAR文件.
一旦Cloudflare发现FlyingYeti的攻击使用了它的服务,它就停止了攻击.
然后,与俄罗斯有关联的工作人员更改了恶意软件的交付方法,使其能够直接从GitHub加载.
下载的RAR存档包括多个文件-其中一个用于通过在文件名和文件扩展名之间添加空格来隐藏文件扩展名.
在这种情况下,攻击者命名的文件看起来像是PDF,但实际上是恶意文件.
该软件包含COOKBOX-FlyingYeti的PowerShell恶意软件-以及Dec这些文件看起来像是债务重组协议和其他相关文件,以提高钓鱼行动的可信度.
然而,这些诱饵包含使用金丝雀令牌的跟踪链接-也是通过嵌入的识别符跟踪犯罪行为的工具.
但在这种情况下,攻击者使用令牌来跟踪受害者.
,Cloudflare的安全团队通知了GitHub,GitHub删除了RAR文件、钓鱼网站和整个GitHub项目,并暂停了用于托管恶意软件的账户.
根据Cloudforce One的说法,这迫使FlyingYeti将RAR档案托管在其他文件共享网站上,包括Pixeldrain和Filemail.
根据Cloudforce One的说法,反钓鱼行动的目的是“增加参与者继续运营的成本”.
威胁猎人声称已经成功地将完成欺诈性操作所需的时间从几个小时延长到几周,并迫使犯罪分子多次调整他们的战术.
这种破坏--英特尔团队指出,这种破坏曾导致额外的八个小时的代码调试时间--最终在打击与克里姆林宫有关的参与者方面取得了成功.
Cloudflare欢呼道:“在发布时,我们没有观察到FlyingYeti将恶意RAR文件上传到任何一个文件托管站点,也没有发现使用替代网络钓鱼或恶意软件交付方法.”.