【安全资讯】FlyingYeti利用WinRAR漏洞攻击乌克兰，传播COOKBOX恶意软件

概要：

俄罗斯关联的威胁组织FlyingYeti近期针对乌克兰发起了一场网络钓鱼攻击，利用WinRAR漏洞传播名为COOKBOX的PowerShell恶意软件。Cloudflare的研究人员发现，这次攻击活动主要通过伪装成债务相关的诱饵邮件，诱导受害者点击恶意链接，从而感染目标系统。这一事件再次凸显了网络安全的重要性和复杂性。

主要内容：

Cloudflare的专家在一份报告中详细描述了FlyingYeti的攻击活动。该组织利用乌克兰在2024年1月结束的驱逐和终止公用事业服务的暂缓令，制造了大量债务相关的诱饵邮件。这些邮件中嵌入了恶意链接，诱导受害者点击并下载包含COOKBOX恶意软件的文件。

攻击者利用了WinRAR的CVE-2023-38831漏洞，通过一个伪装成合法文件的恶意压缩包进行传播。该压缩包内包含多个文件，其中一个文件名使用了Unicode字符“U+201F”，在Windows系统上显示为空白字符，从而隐藏了文件扩展名。当受害者尝试打开看似无害的PDF文件时，实际上触发了恶意CMD文件的执行，导致COOKBOX恶意软件感染系统。

FlyingYeti的攻击手法与乌克兰CERT分析的UAC-0149集群的战术、技术和程序（TTPs）相似。该组织主要针对乌克兰的军事实体，利用动态DNS（DDNS）和云平台进行恶意内容的托管和命令与控制（C2）。此外，攻击者还使用了伪装的Kyiv Komunalka公用事业支付网站，通过钓鱼邮件或加密的Signal消息引导目标访问恶意页面。

一旦COOKBOX恶意软件成功感染系统，它会持续存在并作为攻击者在受感染设备上的立足点。该恶意软件会向DDNS域名postdock[.]serveftp[.]com发送请求，等待执行PowerShell命令。同时，多个诱饵文档也会被打开，其中包含使用Canary Tokens服务的隐藏跟踪链接。

此次事件再次提醒我们，网络安全威胁无处不在，尤其是在当前复杂的国际局势下。各组织和个人应保持高度警惕，及时更新安全补丁，并采取必要的防护措施，以防范类似的网络攻击。