俄罗斯关联的网络攻击目标乌克兰军事实体

关键点总结

• 俄罗斯关联的网络威胁组织FlyingYeti（UAC-0149）针对乌克兰军事实体发起了一个已经被破坏的为期一个月的网络钓鱼攻击活动。
• 该攻击部署了具备cmdlet加载和执行能力的COOKBOX恶意软件。
• 攻击者通过伪造的电子邮件诱使用户下载包含恶意代码的Microsoft Word文件。
• 利用WinRAR漏洞（CVE-2023-38831）的RAR归档文件能够执行COOKBOX恶意软件。
• 此外，乌克兰计算机应急响应小组还警告了来自UAC-0006威胁组的钓鱼攻击，涉及SmokeLoader恶意软件的部署。

俄罗斯相关的网络攻击组织FlyingYeti（也称为UAC-0149），针对乌克兰军事实体进行了为期一个月的网络钓鱼攻击活动，现已被破坏。根据的报道，攻击使用了具备cmdlet加载和执行功能的COOKBOX恶意软件。

攻击的手段是通过发送含有有关支付和债务重组的恶意电子邮件，诱导用户下载来自伪造的基辅Komunalka网站的MicrosoftWord文件。当HTTP请求先经过CloudflareWorker验证后，才会提取RAR归档文件，而该文件利用了WinRAR的一个漏洞（CVE-2023-38831），从而实现COOKBOX恶意软件的执行。

此外，乌克兰计算机应急响应小组还对UAC-0006威胁组的钓鱼攻击发出了单独的警告，揭示了与SmokeLoader恶意软件相关的相关案例，同时提到UAC-0188威胁组织利用被篡改的扫雷游戏来分发SuperOps远程监控和管理软件。这些攻击显示了网络威胁的日益升级，需要密切关注和防范。