Cloudflare heeft onlangs de activiteiten van een phishing-campagne, uitgevoerd door de Russische organisatie FlyingYeti, blootgelegd en verstoord. Deze campagne richtte zich specifiek op Oekraïense burgers, gebruikmakend van thema’s rond schulden voor huisvesting en nutsvoorzieningen om slachtoffers te lokken. De aanvalsmethode biedt security-specialisten een uitstekend inzicht in de manier waarop cybercriminelen dit soort aanvallen opzetten. Daarom biedt dit artikel een gedetailleerd overzicht van de tactieken die FlyingYeti gebruikte, de reactie hierop van Cloudflare, plus een aantal aanbevelingen om soortgelijke aanvallen in de toekomst te voorkomen.
Door: Robbert Hoeffnagel
Na de Russische invasie van Oekraïne in februari 2022, stelde de Oekraïense regering een moratorium in op het uitzetten en afsluiten van nutsvoorzieningen van burgers bij onbetaalde schulden. Dit moratorium eindigde in januari 2024, waardoor veel Oekraïners onder flinke financiële druk kwamen te staan. FlyingYeti maakte gebruik van deze situatie door phishing mails te versturen die inspelen op de angst voor het verlies van woning en nutsvoorzieningen. Deze mails bevatten kwaadaardige bestanden die, eenmaal geopend, het PowerShell-malware genaamd ‘COOKBOX’ installeerden. Deze malware gaf FlyingYeti de mogelijkheid om extra payloads te installeren en controle over de geïnfecteerde systemen te krijgen.
> LEES OOK: Cybercriminelen misbruiken oorlog in Oekraïne
Detectie en verstoringsacties
Cloudflare’s Cloudforce One is een team dat zich bezig houdt met dreigingsoperaties en dreigingsonderzoek. Het bestaat uit analisten die zich bezighouden met malware-analyse, dreigingsanalyse, actieve mitigatie en tegenmaatregelen, evenals het analyseren en delen van inlichtingen. Dit team begon op 18 april 2024 met het monitoren van FlyingYeti’s activiteiten. Deze organisatie gebruikte geavanceerde technieken zoals het uitbuiten van een WinRAR-kwetsbaarheid (CVE-2023-38831) om hun malware te verspreiden. De phishing-campagne maakte gebruik van Cloudflare Workers voor het ophalen van besmette bestanden en GitHub om kwaadaardige bestanden te hosten.
Vanaf 26 april 2024 voerde Cloudforce One verschillende maatregelen uit om FlyingYeti te dwarsbomen. Dit omvatte het opsporen en verwijderen van kwaadaardige code en het samenwerken met derde partijen om malware te verwijderen van cloud-platforms. Deze acties verlengden de tijd die de dreigingsactoren nodig hadden om actief te worden met hun aanval aanzienlijk. Zij werden hierdoor gedwongen hun tactieken en infrastructuur meerdere keren aan te passen. In één geval kostte het FlyingYeti zelfs bijna acht uur om – na de verstoringsacties van Cloudforce One – code die zij voor hun aanval wilden gebruiken opnieuw te debuggen.
Phishing-methoden en malware-analyse
De phishing-campagne van FlyingYeti leidde slachtoffers naar een nagemaakte versie van de Kyiv Komunalka-site. Dit is een platform die burgers gebruiken voor het betalen van nutsvoorzieningen. Hier werden slachtoffers aangespoord om een document te downloaden dat in werkelijkheid een kwaadaardige RAR-bestand was. Dit bestand bevatte verschillende files, waaronder een CMD-bestand vermomd als een PDF-document. Dit kregen de aanvallers voor elkaar door gebruik te maken van een unicode-teken (U+201F) om de extensie te verbergen. U+201F wordt in Windows weergegeven als een spatie. Door aan het einde van de naam van het bestand veel spaties achter elkaar te plaatsen, verdween als het ware de werkelijke extensie van het bestand “uit beeld” en was niet zichtbaar dat het in werkelijkheid om een programma ging. Gebruikers hadden hierdoor niet in de gaten dat zij geen PDF openden maar een programma. Dit CMD-bestand installeerde de COOKBOX-malware op het apparaat van het slachtoffer, waardoor FlyingYeti controle over dit systeem kon uitoefenen.
De campagne was zorgvuldig ontworpen om de phishing-e-mails zo geloofwaardig mogelijk te laten lijken. De berichten bevatten logo’s en kenden een vormgevingsstijl die identiek waren aan die van echte Oekraïense overheidsinstellingen en nutsbedrijven. Dit verhoogde de kans dat ontvangers de bijgevoegde bestanden zouden openen zonder argwaan te wekken. De e-mails maakten vaak gebruik van dreigende taal, waarin werd aangegeven dat onmiddellijke actie vereist was om ernstige gevolgen zoals huisuitzetting te voorkomen.
Analyse van de malware
COOKBOX is een geavanceerde malware die gebruikmaakt van PowerShell-scripts om toegang te krijgen tot het geïnfecteerde systeem. Eenmaal geïnstalleerd, kan COOKBOX aanvullende malware downloaden en uitvoeren, waardoor de aanvallers uitgebreide controle over het systeem krijgen. Dit type malware is bijzonder gevaarlijk omdat het moeilijk te detecteren is met traditionele antivirussoftware. COOKBOX gebruikt versleutelde communicatiekanalen om gegevens te verzenden en ontvangt instructies van de command-and-control (C2) servers van FlyingYeti.
Cloudforce One’s analyse gaf aan dat de malware regelmatig contact opnam met meerdere C2-servers. Dit suggereert dat FlyingYeti een robuust en gedistribueerd netwerk gebruikte om hun operaties te ondersteunen. Deze aanpak maakt het moeilijker om de malware permanent uit te schakelen, aangezien het uitschakelen van één server de functionaliteit van de andere C2-systemen niet beïnvloedt.
De aanval werd uiteindelijk definitief gestopt toen Github eind mei van dit jaar de Komunalka phishing site offline haalde.
Lessons learned en aanbevelingen
Cloudforce One heeft verschillende methoden aanbevolen om dreigingsactiviteiten zoals die van FlyingYeti op te sporen en te voorkomen:
- Implementeer een Zero Trust-architectuur.
- Implementeer Cloud Email Security om ervoor te zorgen dat e-mailservices worden beschermd tegen phishing, BEC en andere bedreigingen.
- Maak gebruik van browser-isolatie om berichtenverkeer van onder andere LinkedIn, e-mail en Signal te scheiden van het hoofdnetwerk.
- Scan, controleer en/of dwing controles af op specifieke of gevoelige gegevens die door de netwerkomgeving worden verplaatst door het toepassen van datalosseregels.
- Zorg ervoor dat alle systemen de nieuwste WinRAR- en Microsoft-beveiligingsupdates hebben geïnstalleerd.
- Overweeg om te voorkomen dat WinRAR-bestanden de bedrijfsomgeving binnenkomen, zowel via de geïnstalleerde Cloud Email Security-oplossing als bij de Internet Traffic Gateway.
- Pas een Endpoint Detection and Response (EDR)-tool toe zoals CrowdStrike of Microsoft Defender for Endpoint om inzicht te krijgen in het al of niet uitvoeren van binaire toepassingen op hosts.
- Zoek de gehele IT- en netwerkomgeving af naar naar tekenen dat FlyingYeti-activiteiten plaatsvinden. In een blog beschrijft Cloudforce One naar welke signaleren men moet uitkijken.
Een Zero Trust-architectuur houdt in dat geen enkel systeem of gebruiker binnen een netwerk automatisch wordt vertrouwd. In plaats daarvan moeten alle toegangspogingen worden geverifieerd en geautoriseerd, ongeacht of ze van binnen of buiten het netwerk komen. Deze aanpak kan helpen om de impact van succesvolle phishing-aanvallen te beperken door te voorkomen dat aanvallers zich via een gecompromitteerd endpoint device door het netwerk kunnen bewegen. Zero Trust beschermt applicaties, netwerken en medewerkers op een volledig geïntegreerde manier.
Daarnaast benadrukt Cloudforce One het belang van security awareness training voor medewerkers en het implementeren van een niet-beschuldigende cultuur. Door medewerkers te leren hoe ze phishing-pogingen kunnen herkennen en rapporteren, verkleinen organisaties de kans dat dergelijke aanvallen succesvol zijn. Regelmatige oefeningen en simulaties helpen medewerkers tevens alert te blijven en snel te reageren op verdachte e-mails. Bovendien is dit niet de enige verantwoordelijkheid van de CSO; door iedereen cyberbewust te maken en een cultuur te implementeren waarin niemand de schuld krijgt, kunnen problemen worden vermeden, waardoor niet alleen de werknemers, maar ook het bredere bedrijf en zijn kostbare gegevens worden beschermd in een veilige en performante connectiviteitscloudomgeving.
Proactief verdedigen
Door hun proactieve verdediging heeft Cloudforce One met succes de phishing-campagne van FlyingYeti verstoord. Hierdoor waren de cybercriminelen niet in staat hun doelen te bereiken. Deze inspanningen onderstrepen het belang van continue monitoring en samenwerking tussen verschillende partijen om cyberdreigingen effectief te bestrijden.
De ervaring met FlyingYeti toont aan hoe belangrijk het is voor organisaties om waakzaam te blijven en voorbereid te zijn op steeds geavanceerdere cyberaanvallen. Door gebruik te maken van de nieuwste beveiligingstechnologieën en best practices kunnen bedrijven en overheden zichzelf beter beschermen tegen de voortdurend evoluerende dreigingen.
Volg Security Management op LinkedIn