Fancy Bear黑客利用先进工具攻击政府和军事实体

Fancy Bear，被网络安全专家指定为APT28，代表一个自2007年以来运作的复杂的俄罗斯网络间谍集体，以渗透全球政府、军事组织和战略实体而闻名。

该组织还以别名如Sofacy、Sednit、STRONTIUM和Unit 26165为人所知，其动机包括财务收益、声誉破坏、间谍活动和政治议程。

他们的操作经常利用办公套件、操作系统和Web应用程序中的漏洞，使用工具如Forfiles、Computrace、Living off the Land技术、DealersChoice、Sedkit和Mimikatz进行隐秘执行。

Fancy Bear的网络间谍遗产概述

Fancy Bear的武器库包括恶意软件变种，如STEELHOOK、HeadLace、Sedreco、Winexe、OCEANMAP、OLDBAIT、ProcDump、WinIDS、certutil、CHOPSTICK、HIDEDRV、SkinnyBoy、XAgentOSX、Drovorub、Fysbis、Downdelph、ADVSTORESHELL、Responder、GooseEgg、XTunnel、Sofacy、Cannon、USBStealer、Foozer、VPNFilter、Koadic、CORESHELL、Komplex、SlimAgent、JHUHUGIT、Seduploader、Zebrocy、PythocyDbg、BeardShell、PocoDown、MASEPIE、Nimcy和LoJax。

根据Cyfirma报告，这些植入物在目标国家包括阿富汗、巴西、柬埔寨、法国、格鲁吉亚、德国、印度、印度尼西亚、哈萨克斯坦、马来西亚、摩尔多瓦、巴基斯坦、罗马尼亚、俄罗斯、南非、叙利亚、泰国、土耳其、乌克兰、美国、越南和澳大利亚，促进了持久访问、数据外泄和命令执行。

与MITRE ATT&CK框架对齐，Fancy Bear采用侦察技术如T1598（钓鱼获取信息）和T1595.002（漏洞扫描）来收集目标情报。

攻击流程图

对于资源开发，他们通过T1583.006（Web服务）获取基础设施，并通过T1588.002（工具）获取能力。

初始访问通过T1189（路过式攻击）、T1566.001/002（钓鱼：鱼叉式钓鱼附件/链接）和T1190（利用面向公众的应用程序）实现，通常利用带有恶意宏或链接到欺骗域的鱼叉式钓鱼。

执行涉及T1203（利用客户端执行）、T1059.003（命令和脚本解释器：Windows命令外壳）和T1204.001/002（用户执行：恶意链接/文件），实现有效载荷的部署。

持久性通过T1547.001（启动或登录自动执行：注册表运行键/启动文件夹）和T1505.003（服务器软件组件：Web Shell）维持，而权限提升利用T1068（利用权限提升）和T1078（有效账户）。

防御规避策略包括T1027（混淆文件或信息）、T1070.004（指标移除：文件删除）和T1564.001（隐藏工件：隐藏文件和目录）。

凭据访问依赖于T1003（操作系统凭据转储）和T1110（暴力破解），通过T1083（文件和目录发现）和T1040（网络嗅探）进行发现。

收集包括T1005（来自本地系统的数据）和T1113（屏幕捕获），导致通过T1041（通过C2通道外泄）或T1567（通过Web服务外泄）进行外泄。

命令和控制利用T1071.001（应用层协议：Web协议）和T1105（入口工具传输），通常通过受损代理路由。

横向移动包括T1021.002（远程服务：SMB/Windows管理共享）和T1210（利用远程服务），最终通过资源劫持实现T1498（网络拒绝服务）等影响。

利用的漏洞

在最近的操作中，Fancy Bear在乌克兰冲突期间加强了努力，利用漏洞如CVE-2023-23397（Microsoft Outlook权限提升）、CVE-2023-38831（WinRAR代码执行）和CVE-2023-20085（Cisco IOS XE拒绝服务）来入侵系统。

活动通过鱼叉式钓鱼针对乌克兰官员和西方军事供应商，利用Webmail平台如Roundcube、Horde、MDaemon和Zimbra中的跨站脚本（XSS）漏洞，包括Roundcube中的CVE-2023-43770。

自定义JavaScript有效载荷外泄电子邮件、联系人和凭据，通过欺骗登录提示绕过双因素认证。

更广泛的间谍活动打击援助乌克兰的物流公司，如多国情报咨询中所指出的，使用模仿合法文档的定制诱饵来部署HATVIBE加载器和CHERRYSPY后门，与Zebrocy植入物重叠。

趋势显示地缘政治焦点，复杂的钓鱼模仿哈萨克政府文件等来源感染中亚和欧洲官员。

适应包括恶意软件轮换、混淆、事件日志清除和滥用合法基础设施进行C2，增强规避。

凭据收集仍然是核心，实现在不同受害者中的持久访问，而通过如Guccifer 2.0等角色的历史虚假信息强调了他们的混合战争方法。

这些TTP突显了Fancy Bear的演变，将技术实力与社会工程相结合，以实现持续的网络主导地位。