Detecção da Campanha FlyingYeti: Hackers Russos Exploram CVE-2023-38831 para Entregar Malware COOKBOX em Ataques Contínuos Contra a Ucrânia

[post-views]
Junho 03, 2024 · 6 min de leitura
Detecção da Campanha FlyingYeti: Hackers Russos Exploram CVE-2023-38831 para Entregar Malware COOKBOX em Ataques Contínuos Contra a Ucrânia

Em meados de abril de 2024, a CERT-UA alertou os defensores sobre tentativas repetidas de adversários para comprometer organizações ucranianas usando o malware COOKBOX. Os defensores observaram a campanha de phishing em andamento visando a Ucrânia e tomaram medidas para interromper as tentativas ofensivas. A atividade maliciosa vinculada à Rússia identificada é rastreada sob o codinome FlyingYeti e sobrepõe-se à operação UAC-0149 coberta no alerta CERT-UA#9522.

Detectar Campanha FlyingYeti Visando a Ucrânia

Com as tensões geopolíticas escalando continuamente, o mundo entrou em uma guerra cibernética completa caracterizada por uma prevalência crescente de Ameaças Persistentes Avançadas (APTs). Esses grupos sofisticados de espionagem cibernética patrocinados por estados visam principalmente alcançar objetivos estratégicos de longo prazo para suas nações patrocinadoras. Entre os atores APT mais ativos e notórios estão aqueles apoiados pelo governo russo. Pelo menos na última década, os APTs apoiados pela Rússia usaram a Ucrânia como campo de testes para novas TTPs e amostras de malware, refinando seus métodos antes de implantá-los contra alvos de alto valor de interesse para o governo de Moscou.

A campanha FlyingYeti é a última de uma série de ataques cibernéticos contra o setor público ucraniano, exigindo que os defensores cibernéticos identifiquem possíveis atividades maliciosas e fortaleçam proativamente sua defesa cibernética. A Plataforma SOC Prime para defesa cibernética coletiva oferece um conjunto de algoritmos de detecção curados para identificar ataques FlyingYeti nas primeiras etapas de seu desenvolvimento. Basta clicar no Explore Detections botão abaixo e imediatamente acessar uma lista de regras compatíveis com mais de 30 soluções de SIEM, EDR e Data Lake e mapeadas para o framework MITRE ATT&CK®. Além disso, as detecções são enriquecidas com referências CTI e outros metadados extensivos para facilitar a investigação de ameaças.

Explore Detections

Considerando que a investigação da Cloudflare ressalta que a última campanha FlyingYeti depende de TTPs semelhantes aos revelados pela CERT-UA em sua investigação dos ataques UAC-0149 contra a Ucrânia, os pesquisadores de segurança podem analisar a campanha retrospectivamente. Investigue uma lista de regras Sigma abordando o alerta CERT-UA#9522 relevante usando um link abaixo ou procure a pilha de detecção relevante aplicando a tag personalizada com base no ID do alerta CERT-UA “CERT-UA#9522”.

Regras Sigma para Detectar Atividade UAC-0149 Contida no Alerta CERT-UA#9522

Buscando uma cobertura mais ampla do UAC-0149 (também conhecido como FlyingYeti)? Use este link para acessar imediatamente uma coleção extensa de regras dos TTPs e padrões de comportamento do grupo para ter todas as peças do quebra-cabeça para suas operações de detecção e caça de ameaças.

Análise da Campanha de Espionagem Phishing FlyingYeti

A equipe Cloudforce One da Cloudflare tem observado uma campanha de espionagem de phishing de um mês descoberta pela CERT-UA e implementou passos adicionais para frustrar os esforços ofensivos. As operações adversárias em andamento estão ligadas ao ator de ameaça alinhado à Rússia FlyingYeti, também rastreado como UAC-0149, que foi notado atrás de ataques anteriores, principalmente visando o setor militar da Ucrânia e usando o malware COOKBOX, como uma notória campanha de phishing contra as Forças Armadas da Ucrânia

O FlyingYeti comumente utiliza DNS dinâmico para sua infraestrutura e aproveita plataformas baseadas em nuvem para hospedar o C2 de malware. A campanha FlyingYeti em andamento explorou o medo de perder acesso à habitação e serviços públicos atraindo os usuários-alvo a abrir arquivos maliciosos temáticos de dívida. Se abertos, esses arquivos armados infectariam o sistema com o malware PowerShell conhecido como COOKBOX, permitindo que o FlyingYeti prosseguisse com objetivos adicionais, como instalar cargas úteis adicionais e ganhar controle sobre o sistema da vítima. Uma vez implantado, o malware COOKBOX é projetado para persistir em um host, estabelecendo uma base no dispositivo comprometido. Após a instalação, a iteração COOKBOX observada entra em contato com o domínio DDNS postdock[.]serveftp[.]com para C2, aguardando comandos PowerShell que o malware executará a seguir. Segundo o Cloudforce One, na última campanha, os adversários também aproveitaram os Cloudflare Workers e o GitHub, além de armarem a vulnerabilidade do WinRAR rastreada como CVE-2023-3883.

Durante um período de um mês, o Cloudforce One observou o FlyingYeti engajando-se em atividades de reconhecimento, criando iscas para sua campanha de phishing e experimentando múltiplas variantes de malware. Os pesquisadores consideraram o início de maio, após a Páscoa Ortodoxa, como a data de lançamento para a campanha de phishing. Os defensores conseguiram interromper a operação do FlyingYeti logo após gerar a carga final do COOKBOX pelos adversários. O malware continha um exploit para o CVE-2023-38831. A exploração de vulnerabilidades permanece um dos métodos comuns de adversários empregados pelo FlyingYeti em suas campanhas de phishing como um meio de disseminar cepas maliciosas.

Para reduzir os riscos de ataques do FlyingYeti, os defensores recomendam implementar uma abordagem de confiança zero na estratégia de cibersegurança da organização, aplicar isolamento de navegador para separar aplicativos de mensagens, garantir que o sistema tenha as últimas atualizações de segurança do WinRAR e Microsoft instaladas, e seguir as melhores práticas de segurança para proteger a infraestrutura contra phishing.

Confie na plataforma SOC Prime para defesa cibernética coletiva com base em inteligência de ameaças global, crowdsourcing, confiança zero, e IA para frustrar proativamente as ameaças emergentes, buscar os TTPs mais recentes usados em ataques cibernéticos, e equipar sua equipe com tecnologias de ponta para Engenharia de Detecção, Caça de Ameaças, e Validação de Pilha de Detecção disponíveis como um único conjunto de produtos. Você também é bem-vindo para solicitar uma demonstração para ver a Plataforma SOC Prime em ação.

Tabela de Conteúdos

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

CVE-2025-49144 Vulnerabilidade: Falha Crítica de Escalonamento de Privilégios no Notepad++ Leva à Tomada Completa do Sistema
Ameaças Mais Recentes, Blog — 7 min de leitura
CVE-2025-49144 Vulnerabilidade: Falha Crítica de Escalonamento de Privilégios no Notepad++ Leva à Tomada Completa do Sistema
Veronika Telychko
Exploração de Vulnerabilidades CVE-2025-6018 e CVE-2025-6019: Cadeia de Falhas de Escalada de Privilégio Local Permite que Atacantes Ganhem Acesso Root na Maioria das Distribuições Linux
Ameaças Mais Recentes, Blog — 6 min de leitura
Exploração de Vulnerabilidades CVE-2025-6018 e CVE-2025-6019: Cadeia de Falhas de Escalada de Privilégio Local Permite que Atacantes Ganhem Acesso Root na Maioria das Distribuições Linux
Veronika Telychko
Vulnerabilidade CVE-2025-4123: “O Fantasma do Grafana” Zero-Day Facilita o Sequestro Malicioso de Contas
Ameaças Mais Recentes, Blog — 6 min de leitura
Vulnerabilidade CVE-2025-4123: “O Fantasma do Grafana” Zero-Day Facilita o Sequestro Malicioso de Contas
Veronika Telychko