Detección de la Campaña FlyingYeti: Hackers Rusos Explotan CVE-2023-38831 para Entregar el Malware COOKBOX en Ataques en Curso Contra Ucrania
Tabla de contenidos:
A mediados de abril de 2024, CERT-UA advirtió a los defensores de intentos repetidos de adversarios para comprometer organizaciones ucranianas usando malware COOKBOX. Los defensores observaron la campaña de phishing en curso dirigida a Ucrania y tomaron medidas para interrumpir los intentos ofensivos. La actividad maliciosa identificada vinculada a Rusia se rastrea bajo el apodo FlyingYeti y se superpone con la operación UAC-0149 cubierta en la alerta CERT-UA#9522.
Detectar la campaña FlyingYeti que apunta a Ucrania
Con las crecientes tensiones geopolíticas, el mundo ha entrado en una guerra cibernética total caracterizada por una creciente prevalencia de Amenazas Persistentes Avanzadas (APT). Estos sofisticados grupos de ciberespionaje patrocinados por el estado están principalmente orientados a lograr objetivos estratégicos a largo plazo para sus naciones patrocinadoras. Entre los actores APT más activos y notorios se encuentran aquellos respaldados por el gobierno ruso. Durante al menos la última década, las APT respaldadas por Rusia han utilizado a Ucrania como un campo de pruebas para nuevos TTPs y muestras de malware, refinando sus métodos antes de desplegarlos contra objetivos de alto valor de interés para el gobierno de Moscú.
La campaña FlyingYeti es la última de una serie de ciberataques contra el sector público ucraniano, requiriendo que los defensores cibernéticos identifiquen posibles actividades maliciosas y fortalezcan su defensa cibernética de manera proactiva. La plataforma SOC Prime para la defensa cibernética colectiva ofrece un conjunto de algoritmos de detección seleccionados para identificar ataques de FlyingYeti en las primeras etapas de su desarrollo. Solo presione el botón Explorar detecciones a continuación e inmediatamente profundice en una lista de reglas compatibles con más de 30 soluciones SIEM, EDR y Data Lake y mapeadas al marco MITRE ATT&CK®. Además, las detecciones se enriquecen con referencias CTI y otros metadatos extensos para facilitar la investigación de amenazas.
En vista de que la investigación de Cloudflare señala que la última campaña de FlyingYeti se basa en TTPs similares a aquellos revelados por CERT-UA en su investigación de los ataques UAC-0149 contra Ucrania, los investigadores de seguridad pueden analizar la campaña retrospectivamente. Sumérjase en una lista de reglas Sigma que abordan la alerta relevante CERT-UA#9522 usando un enlace a continuación o busque el conjunto de detección relevante aplicando la etiqueta personalizada basada en la ID de alerta CERT-UA “CERT-UA#9522”.
Reglas Sigma para detectar actividad UAC-0149 cubierta en la alerta CERT-UA#9522
¿Buscando una cobertura más amplia de UAC-0149 (también conocido como FlyingYeti)? Use este enlace para acceder inmediatamente a una colección extensiva de reglas de los TTPs y patrones de comportamiento del grupo para tener todas las piezas del rompecabezas para sus operaciones de detección y caza de amenazas.
Análisis de la Campaña de Espionaje de Phishing FlyingYeti
El equipo Cloudforce One de Cloudflare ha estado observando una campaña de espionaje de phishing de un mes de duración descubierta por CERT-UA y luego implementaron pasos para frustrar los esfuerzos ofensivos. Las operaciones adversarias en curso están vinculadas al actor de amenazas alineado con Rusia, FlyingYeti, también rastreado como UAC-0149, que ha estado detrás de ataques anteriores principalmente dirigidos al sector militar de Ucrania y aprovechando el malware COOKBOX, como una notoria campaña de phishing contra las Fuerzas Armadas de Ucrania.
FlyingYeti comúnmente aprovecha el DNS dinámico para su infraestructura y utiliza plataformas basadas en la nube para alojar malware C2. La campaña FlyingYeti en curso explotó los temores de perder acceso a la vivienda y servicios públicos atrayendo a los usuarios objetivo a abrir archivos maliciosos con temas de deuda. Si se abren, estos archivos armados infectan el sistema con el malware PowerShell conocido como COOKBOX, permitiendo a FlyingYeti perseguir objetivos adicionales, como instalar cargas útiles adicionales y obtener control sobre el sistema de la víctima. Una vez desplegado, el malware COOKBOX está destinado a persistir en un anfitrión, estableciendo un punto de apoyo en el dispositivo comprometido. Después de la instalación, la iteración observada de COOKBOX se comunica con el dominio DDNS postdock[.]serveftp[.]com para C2, esperando comandos de PowerShell que el malware ejecutará posteriormente. Según Cloudforce One, en la última campaña, los adversarios también aprovecharon Cloudflare Workers y GitHub, además de utilizar la vulnerabilidad de WinRAR rastreada como CVE-2023-3883.
Durante un período de un mes, Cloudforce One observó a FlyingYeti participando en actividades de reconocimiento, creando señuelos para su campaña de phishing y experimentando con múltiples variantes de malware. Los investigadores consideraron principios de mayo, tras la Pascua ortodoxa, como la fecha de lanzamiento de la campaña de phishing. Los defensores lograron interrumpir la operación de FlyingYeti justo después de que los adversarios generaran la carga útil final de COOKBOX. El malware contenía un exploit para CVE-2023-38831. La explotación de vulnerabilidades sigue siendo uno de los métodos comunes del adversario empleados por FlyingYeti en sus campañas de phishing como un medio para propagar cepas maliciosas.
Para reducir los riesgos de ataques de FlyingYeti, los defensores recomiendan implementar un enfoque de confianza cero en la estrategia de ciberseguridad de la organización, aplicar aislamiento de navegador para separar aplicaciones de mensajería, garantizar que el sistema tenga instaladas las últimas actualizaciones de seguridad de WinRAR y Microsoft, y seguir las mejores prácticas de seguridad para proteger la infraestructura contra el phishing.
Confíe en la plataforma SOC Prime para la defensa cibernética colectiva basada en inteligencia de amenazas global, crowdsourcing, confianza cero e IA para prevenir proactivamente amenazas emergentes, buscar los TTPs más recientes utilizados en ciberataques y equipar a su equipo con tecnología de vanguardia para Ingeniería de Detección, Caza de Amenazas y Validación de Conjuntos de Detección disponible como un único conjunto de productos. También está invitado a solicitar una demostración para ver la plataforma SOC Prime en acción.
