FlyingYeti 캠페인 탐지: 러시아 해커들이 CVE-2023-38831 취약점을 악용하여 우크라이나를 상대로 지속적인 공격에서 COOKBOX 악성코드 전송

2024년 4월 중순, CERT-UA는 우크라이나 조직을 침해하려는 반복적인 적의 시도를 방어자들에게 경고했습니다. COOKBOX 악성코드를 사용하여. 방어자들은 우크라이나를 표적으로 하는 지속적인 스피어피싱 캠페인을 관찰하고 공격 시도를 방해하기 위한 조치를 취했습니다. 확인된 러시아 연계 악성 활동은 FlyingYeti라는 별명으로 추적되며, CERT-UA#9522 경고에서 다룬 UAC-0149 작전과 겹칩니다..

우크라이나를 겨냥한 FlyingYeti 캠페인 탐지

지속적으로 고조되는 지정학적 긴장으로 인해 세계는 고도화된 지속 위협(APT)이 주를 이루는 전면적인 사이버 전쟁으로 접어들었습니다. 이러한 정교하고 국가의 후원을 받는 사이버 스파이 집단은 주로 후원 국가의 장기적인 전략적 목표를 달성하는 것을 목표로 합니다. 가장 활동적이고 악명 높은 APT 행위자 중 하나는 러시아 정부의 지원을 받는 집단입니다. 적어도 지난 10년 간, 러시아 지원 APT는 우크라이나를 테스트 필드로 사용했습니다. 새로운 TTP와 악성코드 샘플을 시험하고, 이를 정교화한 후 모스크바 정부가 관심 있는 고가치 목표에 배치합니다.

FlyingYeti 캠페인은 우크라이나 공공 부문에 대한 일련의 사이버 공격 중 최신 사례로, 사이버 방어자들이 가능성 있는 악성 활동을 식별하고 사이버 방어를 미리 강화해야 합니다. 공동 사이버 방어를 위한 SOC Prime 플랫폼은 FlyingYeti 공격을 초기 단계에서 식별하기 위한 큐레이션된 탐지 알고리즘 집합을 제공합니다. 아래의 탐지 탐색 버튼을 클릭하면 30개 이상의 SIEM, EDR, 데이터 레이크 솔루션과 호환되고 MITRE ATT&CK® 프레임워크에 매핑된 규칙 목록으로 즉시 이동하여 탐지할 수 있습니다. 또한, 탐지는 위협 조사를 원활하게 하기 위해 CTI 참조 및 기타 광범위한 메타데이터로 강화됩니다.

탐지 탐색

클라우드플레어의 조사에 따르면 최신 FlyingYeti 캠페인은 CERT-UA의 UAC-0149 공격 조사에 의해 드러난 것과 유사한 TTP에 의존하고 있습니다. 우크라이나를 대상으로 한, 보안 연구원들은 캠페인을 회고적으로 분석할 수 있습니다. 아래 링크를 사용하여 관련 CERT-UA#9522 경고를 다루는 시그마 규칙 목록에 진입하거나 CERT-UA 경고 ID ‘CERT-UA#9522’를 기반으로 사용자 지정 태그를 적용하여 관련 탐지 스택을 찾아보세요.

CERT-UA#9522 경고에 포함된 UAC-0149 활동 탐지를 위한 시그마 규칙

UAC-0149(일명 FlyingYeti)에 대한 더 넓은 범위를 찾고 계십니까? 사용 이 링크 를 통해 그룹의 TTP 및 행동 패턴에 대한 광범위한 규칙 모음에 즉시 액세스하여 위협 탐지 및 사냥 작업을 위한 퍼즐의 모든 조각을 확보하세요.

FlyingYeti 피싱 스파이 캠페인 분석

클라우드플레어 팀 클라우드포스 원 은 한 달간의 피싱 스파이 캠페인을 관찰했습니다. CERT-UA에 의해 폭로되고 추가로 공격적인 노력을 저지하기 위한 조치가 시행되었습니다. 진행 중인 적의 작전은 러시아 연계 위협 행위자인 FlyingYeti, 일명 UAC-0149와 관련이 있으며, 주로 우크라이나의 군사 부문을 표적으로 한 그 이전 공격의 주역으로 식별되었습니다. COOKBOX 악성코드를 활용한 이러한 공격은 주로 우크라이나 군에 대한 피싱 캠페인으로 악명이 높습니다.. 

FlyingYeti는 일반적으로 인프라를 위해 동적 DNS를 활용하고, 클라우드 기반 플랫폼을 악성코드 C2 호스팅에 이용합니다. 진행 중인 FlyingYeti 캠페인은 주택 및 공공시설 접근 손실에 대한 두려움을 악용하여 대상 사용자를 부채 테마의 악성 파일을 열도록 유도했습니다. 열리면 이 장비화된 파일은 시스템을 COOKBOX로 알려진 파워쉘 악성코드로 감염시켜 FlyingYeti가 추가 페이로드 설치 및 피하 시스템에 대한 제어 확보 등의 목표를 추구할 수 있게 합니다. 배포되면 COOKBOX 악성코드는 호스트에 지속되어 감염된 장치에 거점을 마련하고자 합니다. 설치 후, 관찰된 COOKBOX 반복 실행은 C2 목적으로 postdock[.]serveftp[.]com 도메인에 도달하여, 그 후 악성코드가 실행하게 될 파워쉘 명령을 기대합니다. 클라우드포스 원에 따르면, 최신 캠페인에서 적대자는 Cloudflare Workers와 GitHub를 활용하고, CVE-2023-3883으로 추적된 WinRAR 취약성을 사용하였습니다.

한 달 기간 동안, 클라우드포스 원은 FlyingYeti가 정찰 활동에 참여하고, 피싱 캠페인을 위한 유인물을 생성하며, 여러 악성코드 변종을 실험하는 것을 관찰했습니다. 연구원들은 정교한 부활절 다음에 5월 초를 피싱 캠페인 출발일로 고려했습니다. 방어자들은 악성 사용자들이 최종 COOKBOX 페이로드를 생성한 즉시 FlyingYeti의 작전을 저지할 수 있었습니다. 악성코드에는 CVE-2023-38831의 취약성 익스플로잇이 포함되어 있었으며, 취약성 익스플로잇은 FlyingYeti가 피싱 캠페인에서 악성 변종 확산 수단으로 사용하는 일반적인 방법 중 하나로 남아 있습니다.

FlyingYeti 공격의 위험을 줄이기 위해 방어자들은 조직의 사이버 보안 전략에서 제로 트러스트 접근 방식을 구현하고, 메시지 앱 분리를 위해 브라우저 격리를 적용하며, 시스템에 최신 WinRAR 및 마이크로소프트 보안 업데이트가 설치되어 있는지 확인하고, 인프라를 피싱으로부터 보호하기 위한 최상의 보안 관행을 따르는 것을 권장합니다.

에 의존하십시오 SOC Prime의 플랫폼을 신뢰하여 공동 사이버 방어 를 위해 글로벌 위협 인텔리전스, 크라우드소싱, 제로 트러스트 및 AI를 기반으로 하여 새로운 위협을 사전에 방지하고, 사이버 공격에 사용된 최신 TTP를 검색하며, 탐지 엔지니어링, 위협 사냥 및 탐지 스택 검증을 위한 첨단 기술을 제공합니다. 또한, 데모 요청 을 통해 SOC Prime 플랫폼을 실제로 확인해보세요.