云端服务业者Cloudflare揭露自今年4月出现的网路钓鱼攻击行动，俄罗斯骇客组织FlyingYeti（亦被称为UAC-0149）针对乌克兰民众因政府的紧急命令即将到期，恢复收取积欠的公营事业费用，而可能面临庞大债务的情况，架设冒牌的基辅Komunalka社会住宅网站来引诱他们上当，而有可能导致电脑被部署PowerShell恶意程序CookBox，过程中对方滥用Cloudflare Workers与GitHub，以及WinRAR漏洞CVE-2023-38831。

4月18日，该公司旗下的威胁情报团队Cloudforce One侦测到FlyingYeti疑似準备发起攻击行动的迹象，经比对这些骇客曾使用乌克兰电脑紧急应变团队（CERT-UA）揭露的攻击手法，去年秋季对当地国防机构散布CookBox。

后来研究人员进行追蹤，这些骇客在4月中旬至5月中旬进行侦察，建立网钓的诱饵内容，并着手开发恶意程序，当时他们推测，对方很有可能打算在东正教复活节后发动攻击。

而对于骇客準备的攻击链，研究人员指出，对方先是透过债务重组或是与付款相关的电子邮件，引诱收信人点选连结，并将他们带往架设在GitHub的冒牌Komunalka社会住宅付款网站，该网站指示收信人下载Word文件。

然而若是收信人照做，点选下载按钮，电脑就会向Cloudflare Worker发出HTTP POST请求，对方藉此过滤目标，完成后下载RAR压缩档到受害电脑。

此压缩档内含数个文件，其中一个档名带有大量Unicode字元U+201F，此字元在Windows作业系统显示为空格，攻击者这么做的目的，就是为了让收信人降低戒心，忽略此文件实际是CMD批次档。

而这个压缩档内含另一个无害的付款发票PDF文件，一旦收信人透过WinRAR开启压缩档，并试图检视PDF文件，就会触发CVE-2023-38831，执行CMD文件，从而启动CookBox，而能让攻击者持续于受害电脑上活动。

值得留意的是，CMD文件还会开启压缩档里的其他Word文件，这些文件内容看起来是乌克兰官方文件，很有可能是用来转移收信人的注意力。

对此，Cloudforce One採取反制行动，延后对方发动攻击的时间，他们先是封锁骇客使用的Cloudflare Worker，而对方企图新帐号设置多个Cloudflare Worker，但后续皆遭到停用，导致骇客更改攻击链，由GitHub存取前述RAR文件。

研究人员向GitHub通报此事，该程序码储存库下架相关专案，并移除钓鱼网站。他们也提供PowerShell指令码，并对于Splunk、微软云端资安资讯及事件管理（SIEM）平台Sentinel提供相关的侦测规则，来识别骇客骇客在受害电脑触发CVE-2023-38831的情况。