У середині квітня 2024 р. CERT-UA попередив захисників про неодноразові спроби супротивників порушити українські організації з використанням зловмисного програмного забезпечення Cookbox. Захисники спостерігали триваючу фішинг -кампанію, спрямовану на Україну, і вжили заходів, щоб порушити наступальні спроби. Ідентифікована зловмисна діяльність, пов’язана з Росією, відстежується під Moniker Flyingyeti і перекривається з операцією UAC-0149, що охоплюється попередженням CERT-UA#9522.
Виявити кампанію Flyingyeti, спрямований на Україну
Постійно посилюючи геополітичну напругу, світ увійшов до повноцінної кібер-війни, що характеризується зростаючою поширеністю передових стійких загроз (APT). Ці витончені, державні спонсоровані кібер-шпигунські групи в першу чергу спрямовані на досягнення довгострокових стратегічних цілей для їхніх спонсорських країн. Серед найактивніших та найвідоміших акторів – ті, які підтримують російський уряд. Принаймні за останнє десятиліття APT, підтримувані Росією, використовували Україну як тестування для нових зразків зловмисного програмного забезпечення, вдосконалюючи їх методи, перш ніж розгорнути їх проти високоцінних цілей, що цікавлять московський уряд.
Кампанія Flyingyeti-це остання в ряді кібератаків проти українського державного сектору, що вимагає від кібер-захисників виявити можливу зловмисну діяльність та активно зміцнити свою кібер-оборону. Soc Prime Plater для колективної кібер -захисту пропонує набір алгоритмів виявлення кураторів для виявлення нападів Flyingyeti на самих ранніх етапах їх розвитку. Просто натисніть кнопку «Огляд виявлення» внизу та негайно просвердлюйте до списку правил, сумісних з 30+ SIEM, EDR та Data Lake Solutions та відображеним у рамках MITER ATT & CK®. Також виявлення збагачені посиланнями на CTI та іншими обширними метаданими, щоб згладити розслідування загрози.
З огляду на те, що розслідування Клофларі вказує, що остання кампанія Flyingyeti покладається на подібні ТТП, як і ті, що виявляються CERT-UA у розслідуванні нападів UAC-0149 проти України, дослідники безпеки можуть проаналізувати кампанію ретроспективно. Заняття до списку правил SIGMA, що стосуються відповідного попередження CERT-UA#9522, використовуючи посилання нижче або переглядати відповідний стек виявлення, застосувавши спеціальний тег на основі ідентифікатора попередження CERT-UA “CERT-UA#9522”.
Правила SIGMA для виявлення активності UAC-0149, охопленої в попередженнях CERT-UA#9522
Пошук більш широкого висвітлення UAC-0149 (він же Flyingyeti)? Використовуйте це посилання, щоб негайно отримати доступ до великої колекції правил TTP та моделей поведінки групи, щоб мати всі частини головоломки для вашої загрози та мисливських операцій.
Аналіз філії Флінінгейети
Команда CloudFlare Cloudforce One спостерігає за місячною кампанією фішинг-шпигунства, виявленою CERT-UA, і ще більше впровадив кроки, щоб перешкодити наступальній зусиллях. Постійні супротивні операції пов’язані з орієнтованим на Росію актором загрози Flyingyeti, також відстеженим як UAC-0149, який був помічений за попередніми атаками, в основному орієнтованих Україна.
Решта статті була заблокована. Щоб продовжити читання, увійдіть.