4月18日,该公司旗下的威胁情报团队Cloudforce One侦测到FlyingYeti疑似准备发起攻击行动的迹象,经比对这些骇客曾使用乌克兰电脑紧急应变团队(CERT-UA)揭露的攻击手法,去年秋季对当地国防机构散布CookBox。
后来研究人员进行追踪,这些骇客在4月中旬至5月中旬进行侦察,建立网钓的诱饵内容,并著手开发恶意程式,当时他们推测,对方很有可能打算在东正教复活节后发动攻击。
而对于骇客准备的攻击链,研究人员指出,对方先是透过债务重组或是与付款相关的电子邮件,引诱收信人点选连结,并将他们带往架设在GitHub的冒牌Komunalka社会住宅付款网站,该网站指示收信人下载Word档案。
而这个压缩档内含另一个无害的付款发票PDF档案,一旦收信人透过WinRAR开启压缩档,并试图检视PDF档案,就会触发CVE-2023-38831,执行CMD档案,从而启动CookBox,而能让攻击者持续于受害电脑上活动。
值得留意的是,CMD档案还会开启压缩档里的其他Word档案,这些档案内容看起来是乌克兰官方文件,很有可能是用来转移收信人的注意力。
对此,Cloudforce One采取反制行动,延后对方发动攻击的时间,他们先是封锁骇客使用的Cloudflare Worker,而对方企图新帐号设置多个Cloudflare Worker,但后续皆遭到停用,导致骇客更改攻击链,由GitHub存取前述RAR档案。
研究人员向GitHub通报此事,该程式码储存库下架相关专案,并移除钓鱼网站。他们也提供PowerShell指令码,并对于Splunk、微软云端资安资讯及事件管理(SIEM)平台Sentinel提供相关的侦测规则,来识别骇客骇客在受害电脑触发CVE-2023-38831的情况。