Russian
  • English
  • Korean
  • Техническая поддержка
  • Личный кабинет партнера
Positive Technologies
Russian
  • English
  • Korean
  • Решения
    Построение центра ГосСОПКА

    Комплексное решение для создания центра ГосСОПКА и взаимодействия с НКЦКИ

    Комплекс для раннего выявления сложных угроз

    Комплексное решение для раннего выявления и предотвращения целевых атак

    Безопасность объектов КИИ

    Система безопасности значимых объектов КИИ в соответствии с требованиями закона № 187-ФЗ

    PT Industrial Cybersecurity Suite

    Комплексная платформа для защиты промышленности от киберугроз

    Выполнение Указа № 250

    Выполнение требований Указа Президента РФ № 250

    Посмотреть все →
  • Продукты
    MaxPatrol 8

    Контроль защищенности и соответствия стандартам

    MaxPatrol SIEM

    Выявление инцидентов ИБ в реальном времени

    PT ISIM

    Управление инцидентами кибербезопасности АСУ ТП

    PT MultiScanner

    Многоуровневая защита от вредоносного ПО

    ПТ Ведомственный центр

    Управление инцидентами и взаимодействие с ГосСОПКА

    MaxPatrol SIEM All-in-One

    Полноценный SIEM для небольших инфраструктур

    MaxPatrol VM

    Система нового поколения для управления уязвимостями

    PT Network Attack Discovery

    Система анализа трафика (NTA) для выявления атак

    PT Application Firewall

    Защита приложений от веб-атак

    PT Application Inspector

    Анализатор защищенности приложений

    PT BlackBox

    Динамический анализатор приложений

    PT Platform 187

    Реализация основных требований 187-ФЗ для небольших инфраструктур

    XSpider

    Сканер уязвимостей

    PT Sandbox

    Первая песочница, которая защищает именно вашу инфраструктуру

    PT XDR

    Продукт класса Extended Detection and Response для выявления киберугроз и реагирования на них

    PT Threat Intelligence Feeds

    Фиды с экспертными знаниями об угрозах

    Посмотреть все →
  • Сервисы
    Непрерывный анализ защищенности бизнеса

    Услуги Positive Technologies по анализу защищенности бизнеса от киберугроз позволят непрерывно выявлять реальные векторы атак на вашу компанию и совершенствовать стратегию реагирования на инциденты

    Услуги PT Expert Security Center

    Экспертный центр безопасности Positive Technologies предоставляет услуги по обнаружению, реагированию и расследованию сложных инцидентов, а также по мониторингу защищенности корпоративных систем

    Исследование угроз и уязвимостей аппаратных решений

    Выявление аппаратных уязвимостей и закладок – один из самых сложных элементов в реализации зрелой стратегии безопасности. Эксперты Positive Technologies готовы оказать всестороннюю помощь в этом вопросе.

    Расширенная техническая поддержка

    Сделайте использование продуктов Positive Technologies еще более эффективным и приятным с расширенной технической поддержкой. Наши специалисты могут самостоятельно провести установку и настройку продуктов, оценить эффективность работы и в кратчайшие сроки разобраться с любым обращением от клиентов.

    Посмотреть все →
  • Исследования
    Аналитические статьи
    База знаний
    Словарь терминов ИБ
    Хакерские группировки
    PT ESC Threat Intelligence
    Блог
    Вебинары
    Уязвимости и угрозы
    Посмотреть все →
  • Партнеры
    Авторизованные партнеры
    Дистрибьюторы
    Технологические партнеры
    MSSP-партнеры
    Авторизованные учебные центры
    Стать партнером
    Вход в личный кабинет
    Посмотреть все →
  • О компании
    История
    Клиенты
    Долговые инструменты
    Пресс-центр
    Новости
    Мероприятия
    Вакансии
    Контакты
    Документация и материалы
    Эксперты
    Посмотреть все →
  • Инвесторам
Меню
  • Главная
  • Исследования
  • Хакерские группировки
  • FancyBear

FancyBear

Атакуемые отрасли:
  • Государственный сектор
  • Финансовый сектор
  • Промышленный сектор
  • Информационные технологии
  • Образование
  • Военно-промышленный комплекс
  • Исследовательские компании
  • Неправительственные организации
  • Медиа
  • Здравоохранение

Содержание

  • Общее описание
  • Инструменты
  • Атакуемые отрасли
  • Атакуемые страны
  • Альтернативные названия группы
  • Отчеты Positive Technologies и других исследователей
  • Тактики из MITRE ATT&CK, использованные группой

Цели:

  • Шпионаж

Общее описание

Fancy Bear — организованная и хорошо координируемая группа, имеющая в своем арсенале больше число различных продвинутых кроссплатформенных инструментов. Широко известна атаками на WADA, французский телеканал TV5Monde, DNC и другие. Группа активна с 2004 года и поныне охотится за конфиденциальными (секретными) данными свои жертв. География жертв крайне широка и простирается от США и Европы до СНГ. В своих атаках часто используют spear-fishing и сбор учетных данных через фишинговые сайты.

Инструменты

  • X-Agent
  • XTUNNEL
  • SEDUPLOADER
  • Sedkit
  • Sedreco
  • Downdelph
  • LoJax
  • GAMEFISH
  • Responder
  • SofacyCarberp
  • CHOPSTICK
  • SOURFACE
  • EVILTOSS
  • OLDBAIT
  • CORESHELL
  • Cannon
  • Fysbis
  • Komplex
  • HIDEDRV
  • Forfiles
  • Drovorub
  • JHUHUGIT
  • ADVSTORESHELL
  • Zebrocy

Атакуемые отрасли

  • Военно-промышленный комплекс
  • Государственный сектор
  • Здравоохранение
  • Информационные технологии
  • Исследовательские компании
  • Медиа
  • Неправительственные организации
  • Образование
  • Промышленный сектор
  • Финансовый сектор

Атакуемые страны

  • Австрия
  • Азербайджан
  • Албания
  • Армения
  • Афганистан
  • Болгария
  • Венгрия
  • Германия
  • Грузия
  • Испания
  • Катар
  • Объединение Арабские Эмираты
  • Польша
  • Саудовская Аравия
  • США
  • Украина

Альтернативные названия группы

  • SNAKEMACKEREL
  • Swallowtail
  • Group 74
  • Sednit
  • Sofacy
  • Pawn Storm
  • APT28
  • STRONTIUM
  • Tsar Team
  • Threat Group-4127
  • TG-4127

Отчеты Positive Technologies и других исследователей

  • https://www.crowdstrike.com/wp-content/brochures/FancyBearTracksUkrainianArtillery.pdf
  • https://unit42.paloaltonetworks.com/unit42-sofacys-komplex-os-x-trojan/
  • https://unit42.paloaltonetworks.com/a-look-into-fysbis-sofacys-linux-backdoor/
  • https://www.trendmicro.de/cloud-content/us/pdfs/security-intelligence/white-papers/wp-operation-pawn-storm.pdf
  • https://documents.trendmicro.com/assets/wp/wp-two-years-of-pawn-storm.pdf
  • https://www.welivesecurity.com/wp-content/uploads/2016/10/eset-sednit-part1.pdf
  • https://www.fireeye.com/content/dam/fireeye-www/global/en/current-threats/pdfs/rpt-apt28.pdf
  • http://download.bitdefender.com/resources/media/materials/white-papers/en/Bitdefender_In-depth_analysis_of_APT28%E2%80%93The_Political_Cyber-Espionage.pdf
  • https://www.microsoft.com/security/blog/2015/11/16/microsoft-security-intelligence-report-strontium/?source=mmpc
  • https://threatconnect.com/blog/does-a-bear-leak-in-the-woods/
  • https://blog.trendmicro.com/trendlabs-security-intelligence/pawn-storm-targets-german-christian-democratic-union/
  • https://www.welivesecurity.com/wp-content/uploads/2016/10/eset-sednit-part-2.pdf
  • https://www.welivesecurity.com/2014/11/11/sednit-espionage-group-attacking-air-gapped-networks/
  • https://www.welivesecurity.com/2014/10/08/sednit-espionage-group-now-using-custom-exploit-kit/
  • https://securelist.com/sofacy-apt-hits-high-profile-targets-with-updated-toolset/72924/
  • https://securelist.com/a-slice-of-2017-sofacy-activity/83930/
  • https://securelist.com/zebrocys-multilanguage-malware-salad/90680/
  • https://www.welivesecurity.com/2019/05/22/journey-zebrocy-land/
  • https://www.welivesecurity.com/2018/04/24/sednit-update-analysis-zebrocy/
  • https://www.welivesecurity.com/2019/09/24/no-summer-vacations-zebrocy/

Тактики из MITRE ATT&CK, использованные группой

ID Название Описание
Resource Development
T1583.001 Domains Группа Fancy Bear зарегистрировала домены, имитирующие сайты НАТО, сайты безопасности ОБСЕ, информационные ресурсы Кавказа и другие организации
Initial Access
T1566.002 Spearphishing Link Группа Fancy Bear использовала сервисы, сокращающие URL в целенаправленном фишинге, для того чтобы выдавать URL за легитимный сервис и переадресовывать жертв на сайты, собирающие учетные записи
T1566.001 Spearphishing Attachment Группа Fancy Bear использовала целенаправленный фишинг, содержащий прикрепленные документы Microsoft Office
T1199 Trusted Relationship Группа Fancy Bear использовала доступ к DCCC-сети для получения доступа к DNC-сети
T1190 Exploit Public-Facing Application Группа Fancy Bear проводила атаки с использованием внедрения SQL-кода на внешние веб-сайты организаций
Execution
T1559.002 Dynamic Data Exchange Группа Fancy Bear доставляла JHUHUGIT и Koadic с помощью PowerShell-команд, исполняемых через DDE в документах Word
T1204.002 Malicious File Группа Fancy Bear пыталась заставить пользователем открыть прикрепленные документы Microsoft Office, содержащие вредоносные скрипты
T1059.001 PowerShell Группа Fancy Bear загружала и исполняла PowerShell-скрипты
T1059.003 Windows Command Shell Группа Fancy Bear использовала CMD- и BAT-скрипты для запуска полезной нагрузки. Группа также использовала макросы для исполнения полезной нагрузки
T1203 Exploitation for Client Execution Группа Fancy Bear эксплуатировала уязвимость Microsoft Office (CVE-2017-0262)
Persistence
T1037.001 Logon Script (Windows) Группа Fancy Bear использует ключ реестра HKCU\Environment\UserInitMprLogonScript для закрепления на зараженной машине
T1542.003 Bootkit Группа Fancy Bear разворачивала bootkit, который обеспечивает закрепление в системе компонента Downdelph. Bootkit имеет пересечения по коду с вариантами BlackEnergy
T1137.002 Office Test Группа Fancy Bear использовала Office Test механизм закрепления, добавляя ключ реестра HKCU\Software\Microsoft\Office test\Special\Perf
Privilege Escalation
T1546.015 Component Object Model Hijacking Группа Fancy Bear использовала перехват COM для закрепления на зараженной машине, заменяя легитимный объект MMDeviceEnumerator на полезную нагрузку
T1068 Exploitation for Privilege Escalation Группа Fancy Bear эксплуатировала CVE-2014-4076, CVE-2015-2387, CVE-2015-1701, CVE-2017-0263 для повышения привилегий
Defense Evasion
T1564.001 Hidden Files and Directories Группа Fancy Bear сохраняла файлы на диске, устанавливая для них атрибут «Скрыт»
T1070.006 Timestomp Группа Fancy Bear использовала технику timestomping, взяв за основу файлы жертвы
T1070.001 Clear Windows Event Logs Группа Fancy Bear очищала системные журналы, используя команды wevtutil cl System и wevtutil cl Security
T1211 Exploitation for Defense Evasion Группа Fancy Bear эксплуатировала CVE-2015-4902
T1134.001 Token Impersonation/Theft Группа Fancy Bear использовала CVE-2015-1701 для доступа к токену пользователя SYSTEM и назначения его своему процессу
T1550.002 Pass the Hash Группа Fancy Bear использовала технику pass the hash для перемещения в сети
T1078 Valid Accounts Группа Fancy Bear использовала легитимные учетные данные для осуществления первоначального доступа и выгрузки данных из сетей жертв. Группа также использовала стандартные учетные данные производителей для первоначального доступа в сети жертв через IoT-устройства, такие как VoIP-телефоны, принтеры и т. д.
T1218.011 Rundll32 Группа Fancy Bear исполняла CHOPSTICK, используя rundll32: rundll32.exe ?C:\Windows\twain_64.dll?. Группа Fancy Bear сохраняла BAT-скрипт, который использовал rundll32 для запуска полезной нагрузки
T1070.004 File Deletion Группа Fancy Bear намеренно удаляла файлы для сокрытия собственных перемещений, включая использование утилит, например Ccleaner
T1027 Obfuscated Files or Information Группа Fancy Bear зашифровывала полезную нагрузку с помощью RTL и кастомного шифрования. Группа Fancy Bear также обфусцировала полезную нагрузку с помощью Base64, XOR и RC4
T1014 Rootkit Группа Fancy Bear использовала руткит UEFI (Unified Extensible Firmware Interface), известный как LoJax
T1140 Deobfuscate/Decode Files or Information Группа Fancy Bear использовала команды certutil -decode для декодирования контента .txt-файлов, хранящих закодированную в Base64 полезную нагрузку
T1221 Template Injection Группа Fancy Bear использовала remote template в документах Microsoft Word
T1550.001 Application Access Token Группа Fancy Bear использовала различные приложения, использующие OAuth-токены, для получения доступа к почтовым аккаунтам, включая Gmail и Yahoo Mail
T1564.003 Hidden Window Группа Fancy Bear использовала WindowStyle-параметр для сокрытия PowerShell-окон
Credential Access
T1040 Network Sniffing Группа Fancy Bear разворачивала утилиту с открытым исходным кодом Responder для проведения атаки NetBIOS Name Service Poisoning, что позволило им получить доступ к учетным данным. Группа Fancy Bear перехватывала Wi-Fi-сигналы с целью мониторинга и доступа к учетным данным
T1003.001 LSASS Memory Группа Fancy Bear регулярно использовала публично доступные утилиты (ex: Mimikatz) для сбора учетных данных на зараженных компьютерах жертвы
T1528 Steal Application Access Token Группа Fancy Bear использовала различные вредоносные приложения для кражи пользовательских OAuth-токенов доступа, включая маскировку под Google Defender, Google Email Protection и Google Scanner для пользователей Gmail. Для Yahoo использовалась маскировка Delivery Service и McAfee Email Protection
T1003 OS Credential Dumping Группа Fancy Bear регулярно использовала публично доступные утилиты (ex: Mimikatz) сбора учетных данных на зараженных компьютеров жертвы
T1110.003 Password Spraying Группа Fancy Bear использовала утилиты password spraying
T1110.001 Password Guessing Группа Fancy Bear использовала утилиты password bruteforce
Discovery
T1120 Peripheral Device Discovery Группа Fancy Bear использовала модуль для получения уведомлений о подключаемых к зараженному компьютеру USB-устройствах
T1083 File and Directory Discovery Группа Fancy Bear использовала команду cmd forfiles для обнаружения документов PDF, Excel и Word
T1057 Process Discovery Группа Fancy Bear использовала загрузчик, который собирает список процессов
Lateral Movement
T1091 Replication Through Removable Media Модули ВПО CHOPSTICK использовали USB-носители для распространения в изолированные сети, а также использовали файлы на USB для передачи команд из изолированных сетей
T1210 Exploitation of Remote Services Группа Fancy Bear эксплуатировала уязвимость Windows SMB RCE для перемещения в сети жертвы
Collection
T1114.002 Remote Email Collection Группа Fancy Bear собирала email-адреса с Exchange-серверов своих жертв
T1113 Screen Capture Группа Fancy Bear использовала утилиты для создания скриншотов с зараженных компьютеров жертв
T1213.002 Sharepoint Группа Fancy Bear собирала информацию с сервисов Microsoft SharePoint, расположенных внутри атакуемых сетей
T1119 Automated Collection Группа Fancy Bear использовала публично доступные инструменты для сбора и компрессии множества документов в сетях жертв
T1025 Data from Removable Media Группа Fancy Bear использовала имплант, который может собирать содержимое USB-устройств
T1074.001 Local Data Staging Группа Fancy Bear хранила собранные учетные данные в файле с именем pi.log
T1005 Data from Local System Группа Fancy Bear собирала внутренние документы с компьютеров внутри сети жертв, используя forfiles перед выгрузкой данных
T1560 Archive Collected Data Группа Fancy Bear использовала публично доступные утилиты для сбора и компрессии документов в сети жертвы
T1056.001 Keylogging Группа Fancy Bear использовала утилиты для выполнения логирования нажатия клавиш
Command And Control
T1001.001 Junk Data Группа Fancy Bear добавляла «мусорные данные» к каждой закодированной строке, предотвращая декодирование строки без знания алгоритма удаления мусора. Каждому имплантату при создании присваивалось значение Junk Length, которое отслеживалось ВПО, чтобы обеспечить беспрепятственный обмен данными с С2, но не допустить анализа командного протокола при мониторинге соединения
T1105 Ingress Tool Transfer Группа Fancy Bear использовала мультиэтапную доставку имплантов с С2 до компьютера жертвы
T1092 Communication Through Removable Media Группа Fancy Bear использовала утилиты, которые захватывают информацию с изолированных сетей через зараженные USB и передает ее на компьютеры, соединенные с интернетом
T1071.003 Mail Protocols Группа Fancy Bear использовала SMTP как канал взаимодействия в различных имплантах: сначала использовали учетные записи Gmail, позже использовали почтовые серверы жертв
T1090.002 External Proxy Группа Fancy Bear использовала сети своих жертв как прокси для перенаправления трафика с C2. К примеру, скомпрометированный почтовый сервер грузинских военных использовался как прокси для доступа к жертвам в НАТО. Группа также использовала утилиты, позволяющие создавать прокси в случаях, когда жертва находится за роутером
T1573.001 Symmetric Cryptography Группа Fancy Bear устанавливала бэкдор Delphi, который использовал специально адаптированные алгоритм для взаимодействия с С2
T1043 Commonly Used Port Группа Fancy Bear использовала порт 443 для С2
T1071.001 Web Protocols Более поздние имплантаты, применяемые Fancy Bear, такие как CHOPSTICK, используют различные легитимные каналы для C2 в зависимости от конфигурации модуля
Impact
T1498 Network Denial of Service В 2016 году Группа Fancy Bear провела DDoS-атаку против WADA

Группировки, атакующие такие же отрасли:

  • APT31
  • APT32
  • Bronze Union
  • Calypso
  • ChamelGang
Поделиться:
Ссылка скопирована
Вернуться к выбору статей
Решения
  • Построение центра ГосСОПКА
  • Комплекс для раннего выявления сложных угроз
  • Безопасность объектов КИИ
  • PT Industrial Cybersecurity Suite
  • Выполнение Указа № 250
Продукты
  • MaxPatrol 8
  • MaxPatrol SIEM
  • PT ISIM
  • PT MultiScanner
  • ПТ Ведомственный центр
  • MaxPatrol SIEM All-in-One
  • MaxPatrol VM
  • PT Network Attack Discovery
  • PT Application Firewall
  • PT Application Inspector
  • PT BlackBox
  • PT Platform 187
  • XSpider
  • PT Sandbox
  • PT XDR
  • PT Threat Intelligence Feeds
Сервисы
  • Непрерывный анализ защищенности бизнеса
  • Услуги PT Expert Security Center
  • Исследование угроз и уязвимостей аппаратных решений
  • Расширенная техническая поддержка
Исследования
  • Аналитические статьи
  • База знаний
  • Словарь терминов ИБ
  • Хакерские группировки
  • PT ESC Threat Intelligence
  • Блог
  • Вебинары
  • Уязвимости и угрозы
Партнеры
  • Авторизованные партнеры
  • Дистрибьюторы
  • Технологические партнеры
  • MSSP-партнеры
  • Авторизованные учебные центры
  • Стать партнером
  • Вход в личный кабинет
О компании
  • История
  • Клиенты
  • Долговые инструменты
  • Пресс-центр
  • Новости
  • Мероприятия
  • Вакансии
  • Контакты
  • Документация и материалы
  • Эксперты
Инвесторам
Positive Technologies
© Positive Technologies, 2002—2023.
Мы в социальных сетях:
  • Сообщить об уязвимости
  • Справочный портал
  • Правила использования
  • Политика конфиденциальности
  • Политика использования файлов cookie
  • Юридическая информация
  • Информация в ленте Интерфакс
  • Карта сайта
© Positive Technologies, 2002—2023.
  • Сообщить об уязвимости
  • Справочный портал
  • Правила использования
  • Политика конфиденциальности
  • Политика использования файлов cookie
  • Юридическая информация
  • Информация в ленте Интерфакс
  • Карта сайта