FlyingYeti kampány
A Cloudforce One közzéteszi a FlyingYeti nevű, Oroszországhoz kötődő fenyegető szereplő által az Ukrajnát célzó legutóbbi adathalász-kampánya során végzett vizsgálatuk és valós idejű eredményeit, amelyek célja a fenyegetések észlelése, megállítása, csökkentése, megzavarása és késleltetése volt.
Oroszország 2022. február 24-i ukrajnai inváziójának kezdetén Ukrajna moratóriumot vezetett be a kilakoltatásokra és a közüzemi szolgáltatások megszüntetésére a kifizetetlen tartozások miatt. A moratórium 2024 januárjában járt le, ami jelentős adósságkötelezettséget és fokozott pénzügyi feszültséget eredményezett az ukrán állampolgárok számára. A FlyingYeti kampány a lakhatás és a közüzemi szolgáltatásokhoz való hozzáférés esetleges elvesztése miatti aggodalmat használta ki azzal, hogy adósságtémájú csalikkal rosszindulatú fájlok megnyitására csábította a célpontokat. A fájlok megnyitása esetén a fájlok a COOKBOX néven ismert PowerShell rosszindulatú szoftverrel való fertőzést eredményeztek, ami lehetővé tette a FlyingYeti számára, hogy támogassa a további célokat, például további hasznos terhek telepítését és az áldozat rendszere feletti ellenőrzést.
2024. április 26. óta a Cloudforce One intézkedéseket hozott annak megakadályozására, hogy a FlyingYeti elindítsa adathalászkampányát, amely a Cloudflare Workers és a GitHub használatát, valamint a WinRAR CVE-2023-38831 sebezhetőségének kihasználását foglalja magában. Az ellenintézkedéseink között szerepeltek belső intézkedések, például észlelések és kódeltávolítások, valamint külső együttműködés harmadik felekkel a szereplő felhőben tárolt rosszindulatú szoftverének eltávolítása érdekében. A szereplő elleni eredményességünk napokról hetekre hosszabbította meg a működési időt. Egyetlen esetben például a FlyingYeti közel nyolc órát töltött a kódjuk hibakeresésével a mi enyhítéseink eredményeként. A proaktív védelmi intézkedések alkalmazásával sikeresen megakadályozni, hogy ez az elszánt fenyegető szereplő elérje a céljait.