FlyingYetiキャンペーン検出：ロシアのハッカー、ウクライナへの継続的な攻撃でCVE-2023-38831を悪用してCOOKBOXマルウェアを配信

2024年4月中旬、CERT-UAはウクライナの組織への繰り返しの攻撃試みを警告しました COOKBOXマルウェアを使用して。防御者たちは、ウクライナをターゲットにしたフィッシングキャンペーンを観察し、攻撃試みを妨害するための措置を講じました。ロシア関係の悪意ある活動は、FlyingYetiという異名で追跡されており、 CERT-UA#9522アラートで報告されたUAC-0149作戦.

FlyingYetiキャンペーンがウクライナを標的に

地政学的緊張が絶えず高まる中、世界は高度な持続的脅威（APT）が増加する全面的なサイバー戦争に突入しました。これらの高度で国家支援のサイバースパイグループは、主にスポンサー国家の長期的な戦略目標を達成することを目的としています。最も活動的で悪名高いAPTアクターの中には、ロシア政府が支援するものがあります。少なくとも過去10年間、 ロシア支援のAPTはウクライナを実験場にしてきた 新しいTTPやマルウェアサンプルを試し、高価値のターゲットに対する展開前に方法を洗練させています。

FlyingYetiキャンペーンは、ウクライナ公共部門への一連のサイバー攻撃の最新のものであり、サイバー防御者は可能な悪意ある活動を特定し、サイバー防御を事前に強化する必要があります。共同サイバー防御のためのSOC Primeプラットフォームは、FlyingYeti攻撃の発展段階での早期発見を可能にする精選された検出アルゴリズムを提供します。単に 探す検出 ボタンを押して、30以上のSIEM、EDR、データレイクソリューションに対応し、 MITRE ATT&CK®フレームワークにマッピングされたルールのリストに即座に移動できます。また、検出にはCTI参照や他の豊富なメタデータが含まれており、脅威調査を円滑にします。

探す検出

Clouflareの調査によると、最新のFlyingYetiキャンペーンは CERT-UAがUAC-0149攻撃の調査で判明した類似のTTPに依存していることを指摘しているため 、セキュリティ研究者はキャンペーンを遡って分析することもできます。下のリンクを使用してCERT-UA#9522アラートに関連するSigmaルールのリストを確認するか、CERT-UAアラートID「CERT-UA#9522」に基づくカスタムタグを適用して関連する検出スタックを探します。

CERT-UA#9522アラートでカバーされたUAC-0149活動を検出するSigmaルール

UAC-0149（別名FlyingYeti）の広範なカバレッジをお探しですか？ このリンク を使用して、グループのTTPと行動パターンの包括的なルールコレクションにすぐにアクセスでき、脅威検出＆ハンティング操作のためのすべてのピースを得ることができます。

FlyingYetiフィッシング諜報キャンペーン分析

CloudflareのチームCloudforce One は 1か月にわたるフィッシング諜報キャンペーン をCERT-UAが発見し、その後攻撃努力を阻止するための措置を講じました。継続中の敵対活動は、ロシアに関連する脅威アクターFlyingYetiとされ、UAC-0149として追跡されており、主にウクライナの軍事セクターをターゲットにした過去の攻撃と、COOKBOXマルウェアを用いた悪名高い ウクライナ武装勢力に対するフィッシングキャンペーンとの関与が見られました. 

FlyingYetiは通常、インフラストラクチャにダイナミックDNSを利用し、クラウドベースのプラットフォームを利用してマルウェアのC2をホスティングします。継続中のFlyingYetiキャンペーンは、住宅や公共サービスのアクセスを失う恐怖を利用して、標的ユーザーを借金をテーマにした悪意あるファイルを開かせました。もし開かれた場合、これらの武装化ファイルはCOOKBOXとして知られるPowerShellマルウェアをシステムに感染させ、FlyingYetiが追加のペイロードをインストールしたり、被害者のシステムを制御したりするためのさらなる目的を追求できるようにしました。COOKBOXマルウェアが展開されると、ホスト上に持続し、侵入されたデバイスに足掛かりを確立することを目的としています。インストール後、観察されたCOOKBOXの反復部分がC2のためにDDNSドメインpostdock[.]serveftp[.]comに接続し、その後マルウェアが実行するPowerShellコマンドを期待します。Cloudforce Oneによれば、最新のキャンペーンでは、敵もCloudflare WorkersとGitHubを利用し、CVE-2023-3883として追跡されるWinRARの脆弱性を武器化しました。

1か月の間に、Cloudforce OneはFlyingYetiが偵察活動に従事し、フィッシングキャンペーンのためのルアーを作成し、複数のマルウェア変種を実験していることを観察しました。正教の復活祭後の5月初旬をフィッシングキャンペーンの開始日と考えました。防御者は、敵が最終的なCOOKBOXペイロードを生成した直後にFlyingYetiの作戦を妨害することに成功しました。マルウェアにはCVE-2023-38831のエクスプロイトが含まれていました。脆弱性の悪用は、FlyingYetiがそのフィッシングキャンペーンで使用する一般的な敵対手段の1つとして残っています。

FlyingYeti攻撃のリスクを軽減するために、防御者は組織のサイバーセキュリティ戦略にゼロトラストアプローチを実装し、メッセージングアプリを分離するためのブラウザ分離を適用し、システムに最新のWinRARおよびMicrosoftのセキュリティアップデートをインストールし、フィッシングからインフラを保護するための最適なセキュリティプラクティスに従うことを推奨します。

に頼る SOC Primeの共同サイバー防御プラットフォーム はグローバル脅威インテリジェンス、クラウドソーシング、ゼロトラスト、AIに基づいており、新たな脅威を積極的に阻止し、サイバー攻撃に使用される最新のTTPを検索し、Detection Engineering、Threat Hunting、Detection Stack Validationのための最先端技術を単一の製品スイートとしてチームに装備します。また、SOC Primeプラットフォームを実際に見るために、 デモをリクエスト することも歓迎します。