Rilevamento Campagna FlyingYeti: hacker russi sfruttano CVE-2023-38831 per consegnare il malware COOKBOX in attacchi continui contro l’Ucraina

[post-views]
Giugno 03, 2024 · 6 min di lettura
Rilevamento Campagna FlyingYeti: hacker russi sfruttano CVE-2023-38831 per consegnare il malware COOKBOX in attacchi continui contro l’Ucraina

A metà aprile 2024, CERT-UA ha avvertito i difensori di ripetuti tentativi avversari di compromettere le organizzazioni ucraine utilizzando il malware COOKBOX. I difensori hanno osservato la continua campagna di phishing che prende di mira l’Ucraina e hanno adottato misure per interrompere i tentativi offensivi. L’attività dannosa identificata e collegata alla Russia è monitorata con il nome FlyingYeti e si sovrappone all’operazione UAC-0149 trattata nell’ allerta CERT-UA#9522.

Rileva la Campagna FlyingYeti che Prende di Mira l’Ucraina

Con le tensioni geopolitiche continuamente crescenti, il mondo è entrato in una vera e propria guerra informatica caratterizzata da una prevalenza crescente di minacce persistenti avanzate (APT). Questi gruppi di spionaggio informatico sofisticati e sponsorizzati dallo stato mirano principalmente a raggiungere obiettivi strategici a lungo termine per i loro paesi sponsor. Tra gli attori APT più attivi e noti ci sono quelli sostenuti dal governo russo. Negli ultimi dieci anni almeno, le APT sostenute dalla Russia hanno utilizzato l’Ucraina come terreno di prova per nuovi TTP e campioni di malware, affinando i loro metodi prima di distribuirli contro obiettivi di alto valore di interesse per il governo di Mosca.

La campagna FlyingYeti è l’ultima di una serie di attacchi informatici contro il settore pubblico ucraino, richiedendo ai difensori informatici di identificare possibili attività dannose e rafforzare proattivamente la loro difesa informatica. La piattaforma SOC Prime per la difesa informatica collettiva offre un insieme di algoritmi di rilevamento curati per identificare gli attacchi FlyingYeti già nelle fasi iniziali del loro sviluppo. Basta premere il Esplora Rilevamenti pulsante qui sotto e accedere immediatamente a un elenco di regole compatibili con oltre 30 soluzioni SIEM, EDR e Data Lake e mappate nel quadro MITRE ATT&CK®. Inoltre, i rilevamenti sono arricchiti con riferimenti CTI e altri metadati estesi per facilitare l’indagine delle minacce.

Esplora Rilevamenti

Visto che l’inchiesta di Cloudfare indica che la più recente campagna FlyingYeti si affida a TTP simili a quelli rivelati dal CERT-UA nella loro indagine sugli attacchi UAC-0149 contro l’Ucraina, i ricercatori di sicurezza potrebbero analizzare retrospettivamente la campagna. Immergiti in un elenco di regole Sigma che affrontano l’allerta CERT-UA#9522 pertinente utilizzando un link qui sotto o cerca lo stack di rilevamento pertinente applicando il tag personalizzato basato sull’ID dell’allerta CERT-UA “CERT-UA#9522”.

Regole Sigma per Rilevare Attività UAC-0149 Coperte nell’Allerta CERT-UA#9522

Cerchi una copertura più ampia di UAC-0149 (alias FlyingYeti)? Usa questo link per accedere immediatamente a una vasta collezione di regole sui TTP e modelli di comportamento del gruppo per avere tutti i pezzi del puzzle per le tue operazioni di rilevamento e caccia alle minacce.

Analisi della Campagna di Phishing e Spionaggio di FlyingYeti

Il team Cloudforce One di Cloudflare ha osservato una campagna di spionaggio di phishing di un mese scoperta dal CERT-UA e ha ulteriormente implementato passaggi per contrastare gli sforzi offensivi. Le operazioni avversarie in corso sono collegate all’attore di minacce allineato alla Russia FlyingYeti, noto anche come UAC-0149, che è stato notato dietro precedenti attacchi principalmente indirizzati al settore militare dell’Ucraina e sfruttava il malware COOKBOX, come una famosa campagna di phishing contro le Forze Armate dell’Ucraina

FlyingYeti sfrutta comunemente DNS dinamici per la sua infrastruttura e approfitta delle piattaforme basate su cloud per ospitare il malware C2. La campagna FlyingYeti in corso ha sfruttato le paure di perdere l’accesso a case e utenze attirando gli utenti bersaglio nell’aprire file dannosi a tema debitorio. Se aperti, questi file armati infetterebbero il sistema con il malware PowerShell noto come COOKBOX, consentendo a FlyingYeti di perseguire ulteriori obiettivi, come l’installazione di payload aggiuntivi e il controllo sul sistema della vittima. Una volta distribuito, il malware COOKBOX è progettato per persistere su un host, stabilendo un punto d’appoggio nel dispositivo compromesso. Dopo l’installazione, l’iterazione COOKBOX osservata contatta il dominio DDNS postdock[.]serveftp[.]com per il C2, attendendo comandi PowerShell che il malware eseguirà successivamente. Secondo Cloudforce One, nella campagna più recente, gli avversari hanno anche approfittato di Cloudflare Workers e GitHub, insieme alla strumentalizzazione della vulnerabilità di WinRAR tracciata come CVE-2023-3883.

Per un periodo di un mese, Cloudforce One ha osservato FlyingYeti impegnato in attività di ricognizione, creando esche per la sua campagna di phishing e sperimentando con varianti multiple di malware. I ricercatori hanno considerato l’inizio di maggio, a seguito della Pasqua ortodossa, come la data di lancio per la campagna di phishing. I difensori sono riusciti a interrompere l’operazione di FlyingYeti subito dopo aver generato il payload finale del malware COOKBOX da parte degli avversari. Il malware conteneva un exploit per CVE-2023-38831. Lo sfruttamento delle vulnerabilità rimane uno dei metodi comuni avversari impiegati da FlyingYeti nelle loro campagne di phishing come mezzo per diffondere ceppi dannosi.

Per ridurre i rischi degli attacchi di FlyingYeti, i difensori raccomandano di implementare un approccio zero-trust alla strategia di cybersecurity dell’organizzazione, applicando l’isolamento del browser per separare le applicazioni di messaggistica, assicurandosi che il sistema abbia installato gli aggiornamenti di sicurezza più recenti di WinRAR e Microsoft, e seguendo le migliori pratiche di sicurezza per proteggere l’infrastruttura contro il phishing.

Fai affidamento sulla piattaforma di SOC Prime per la difesa informatica collettiva basata su intelligence globale sulle minacce, crowdsourcing, zero-trust e AI per contrastare proattivamente le minacce emergenti, cercare i TTP più recenti utilizzati negli attacchi cyber, e equipaggiare il tuo team con tecnologie all’avanguardia per l’ingegneria del rilevamento, la caccia alle minacce e la validazione degli stack di rilevamento disponibili come suite di prodotti unica. Sei anche invitato a richiedere una demo per vedere la piattaforma SOC Prime in azione.

Indice dei Contenuti

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Vulnerabilità CVE-2025-49144: Critica Falla di Escalation dei Privilegi in Notepad++ Porta al Completo Controllo del Sistema
Blog, Ultime Minacce — 7 min di lettura
Vulnerabilità CVE-2025-49144: Critica Falla di Escalation dei Privilegi in Notepad++ Porta al Completo Controllo del Sistema
Veronika Telychko
Sfruttamento delle Vulnerabilità CVE-2025-6018 e CVE-2025-6019: la Catena di Difetti di Escalation dei Privilegi Locali Consente agli Attaccanti di Ottenere Accesso Root sulla Maggior Parte delle Distribuzioni Linux
Blog, Ultime Minacce — 6 min di lettura
Sfruttamento delle Vulnerabilità CVE-2025-6018 e CVE-2025-6019: la Catena di Difetti di Escalation dei Privilegi Locali Consente agli Attaccanti di Ottenere Accesso Root sulla Maggior Parte delle Distribuzioni Linux
Veronika Telychko
Vulnerabilità CVE-2025-4123: “Il Fantasma di Grafana” Zero-Day Consente l’Hijacking Maligno degli Account
Blog, Ultime Minacce — 5 min di lettura
Vulnerabilità CVE-2025-4123: “Il Fantasma di Grafana” Zero-Day Consente l’Hijacking Maligno degli Account
Veronika Telychko