Détection de la Campagne FlyingYeti : des Hackers russes Exploitent CVE-2023-38831 pour Distribuer le Malware COOKBOX dans des Attaques en Cours Contre l’Ukraine
Table des matières :
À la mi-avril 2024, le CERT-UA a averti les défenseurs des tentatives répétées d’adversaires visant à compromettre des organisations ukrainiennes en utilisant le malware COOKBOX. Les défenseurs ont observé la campagne de phishing en cours visant l’Ukraine et ont pris des mesures pour perturber les tentatives offensives. L’activité malveillante liée à la Russie identifiée est suivie sous le nom FlyingYeti et chevauche l’opération UAC-0149 couverte dans l’alerte CERT-UA#9522.
Détecter la campagne FlyingYeti ciblant l’Ukraine
Avec des tensions géopolitiques en constante escalade, le monde est entré dans une cyberguerre à part entière caractérisée par une prévalence croissante de Menaces Avancées Persistantes (APT). Ces groupes sophistiqués d’espionnage cybernétique d’État visent principalement à atteindre des objectifs stratégiques à long terme pour leurs nations sponsors. Parmi les acteurs APT les plus actifs et notoires figurent ceux soutenus par le gouvernement russe. Depuis au moins la dernière décennie, les APT soutenus par la Russie ont utilisé l’Ukraine comme terrain d’essai pour de nouvelles TTP et échantillons de malware, raffinant leurs méthodes avant de les déployer contre des cibles de grande valeur d’intérêt pour le gouvernement de Moscou.
La campagne FlyingYeti est la dernière d’une série de cyberattaques contre le secteur public ukrainien, nécessitant que les cyber défenseurs identifient toute activité malveillante possible et renforcent de manière proactive leur défense cybernétique. La plateforme SOC Prime pour la défense cybernétique collective offre un ensemble d’algorithmes de détection soigneusement sélectionnés pour identifier les attaques FlyingYeti dès les premiers stades de leur développement. Cliquez simplement sur le bouton Explorer les détections ci-dessous et plongez immédiatement dans une liste de règles compatibles avec plus de 30 solutions SIEM, EDR et Data Lake, et mappées au cadre MITRE ATT&CK®. De plus, les détections sont enrichies de références CTI et d’autres métadonnées étendues pour faciliter l’enquête sur les menaces.
Étant donné que l’enquête de Cloudflare indique que la dernière campagne FlyingYeti repose sur des TTP similaires à ceux révélés par le CERT-UA dans leur enquête sur les attaques UAC-0149 contre l’Ukraine, les chercheurs en sécurité pourraient analyser la campagne rétrospectivement. Plongez dans une liste de règles Sigma abordant l’alerte CERT-UA#9522 pertinente en utilisant un lien ci-dessous ou explorez la pile de détection pertinente en appliquant le tag personnalisé basé sur l’ID de l’alerte CERT-UA « CERT-UA#9522 ».
Règles Sigma pour détecter l’activité UAC-0149 couverte dans l’alerte CERT-UA#9522
Vous recherchez une couverture plus large de UAC-0149 (alias FlyingYeti) ? Utilisez ce lien pour accéder immédiatement à une vaste collection de règles concernant les TTPs et les modèles de comportement du groupe pour avoir toutes les pièces du puzzle pour vos opérations de détection et de chasse des menaces.
Analyse de la Campagne d’Espionnage par Phishing de FlyingYeti
L’équipe Cloudflare Cloudforce One a observé une campagne de phishing d’espionnage d’un mois découverte par le CERT-UA et a mis en œuvre d’autres étapes pour contrecarrer les efforts offensifs. Les opérations adverses en cours sont liées à l’acteur de menace aligné sur la Russie, FlyingYeti, également suivi sous le nom UAC-0149, qui a été remarqué derrière des attaques antérieures ciblant principalement le secteur militaire de l’Ukraine et utilisant le malware COOKBOX, comme une campagne de phishing notoire contre les Forces Armées de l’Ukraine. FlyingYeti exploite couramment le DNS dynamique pour son infrastructure et tire parti de plateformes basées dans le cloud pour héberger le C2 de malware. La campagne en cours de FlyingYeti a exploité les craintes de perdre l’accès au logement et aux services publics en incitant les utilisateurs ciblés à ouvrir des fichiers malveillants sur le thème de la dette. Si ouverts, ces fichiers armés infecteraient le système avec le malware PowerShell connu sous le nom de COOKBOX, permettant à FlyingYeti de poursuivre d’autres objectifs, tels que l’installation de charges utiles supplémentaires et la prise de contrôle du système de la victime. Une fois déployé, le malware COOKBOX est destiné à persister sur un hôte, établissant un point d’ancrage dans le dispositif compromis. Après l’installation, l’itération COOKBOX observée contacte le domaine DDNS postdock[.]serveftp[.]com pour le C2, attendant des commandes PowerShell que le malware exécutera ensuite. Selon Cloudforce One, dans la dernière campagne, les adversaires ont également profité de Cloudflare Workers et GitHub, ainsi qu’en armant la vulnérabilité WinRAR suivie sous le nom CVE-2023-3883..
FlyingYeti commonly leverages dynamic DNS for its infrastructure and takes advantage of cloud-based platforms for hosting malware C2. The ongoing FlyingYeti campaign exploited fears of losing access to housing and utilities by luring the targeted users into opening debt-themed malicious files. If opened, these weaponized files would infect the system with the PowerShell malware known as COOKBOX, enabling FlyingYeti to pursue further objectives, such as installing additional payloads and gaining control over the victim’s system. Once deployed, COOKBOX malware is intended to persist on a host, establishing a foothold in the compromised device. After installation, the observed COOKBOX iteration reaches out to the DDNS domain postdock[.]serveftp[.]com for C2, expecting PowerShell commands that the malware will execute thereafter. According to Cloudforce One, in the latest campaign, adversaries also took advantage of Cloudflare Workers and GitHub, along with weaponizing the WinRAR vulnerability tracked as CVE-2023-3883.
Pendant une période d’un mois, Cloudforce One a observé FlyingYeti engagé dans des activités de reconnaissance, créant des leurres pour sa campagne de phishing et expérimentant plusieurs variantes de malware. Les chercheurs ont considéré début mai, après la Pâque orthodoxe, comme la date de lancement de la campagne de phishing. Les défenseurs ont réussi à perturber l’opération de FlyingYeti juste après avoir généré la charge utile finale de COOKBOX par les adversaires. Le malware contenait un exploit pour CVE-2023-38831. L’exploitation des vulnérabilités reste l’une des méthodes communes des adversaires utilisées par FlyingYeti dans leurs campagnes de phishing comme moyen de propager des souches malveillantes.
Pour réduire les risques d’attaques FlyingYeti, les défenseurs recommandent de mettre en œuvre une approche de confiance zéro dans la stratégie de cybersécurité de l’organisation, d’appliquer une isolation du navigateur pour séparer les applications de messagerie, de s’assurer que le système dispose des dernières mises à jour de sécurité WinRAR et Microsoft installées, et de suivre les meilleures pratiques de sécurité pour protéger l’infrastructure contre le phishing.
Comptez sur la plateforme de SOC Prime pour la défense cyber collective basée sur les renseignements sur les menaces mondiales, le crowdsourcing, la confiance zéro et l’IA pour contrer de manière proactive les menaces émergentes, rechercher les derniers TTPs utilisés dans les cyberattaques, et équiper votre équipe avec des technologies de pointe pour l’ingénierie de détection, la chasse aux menaces et la validation de la pile de détection disponibles en tant que suite de produits unique. Vous êtes également invité à demander une démonstration pour voir la plateforme SOC Prime en action.
