Содержание
Цели:
- Шпионаж
Общее описание
Fancy Bear — организованная и хорошо координируемая группа, имеющая в своем арсенале больше число различных продвинутых кроссплатформенных инструментов. Широко известна атаками на WADA, французский телеканал TV5Monde, DNC и другие. Группа активна с 2004 года и поныне охотится за конфиденциальными (секретными) данными свои жертв. География жертв крайне широка и простирается от США и Европы до СНГ. В своих атаках часто используют spear-fishing и сбор учетных данных через фишинговые сайты.
Инструменты
- X-Agent
- XTUNNEL
- SEDUPLOADER
- Sedkit
- Sedreco
- Downdelph
- LoJax
- GAMEFISH
- Responder
- SofacyCarberp
- CHOPSTICK
- SOURFACE
- EVILTOSS
- OLDBAIT
- CORESHELL
- Cannon
- Fysbis
- Komplex
- HIDEDRV
- Forfiles
- Drovorub
- JHUHUGIT
- ADVSTORESHELL
- Zebrocy
Атакуемые отрасли
- Военно-промышленный комплекс
- Государственный сектор
- Здравоохранение
- Информационные технологии
- Исследовательские компании
- Медиа
- Неправительственные организации
- Образование
- Промышленный сектор
- Финансовый сектор
Атакуемые страны
- Австрия
- Азербайджан
- Албания
- Армения
- Афганистан
- Болгария
- Венгрия
- Германия
- Грузия
- Испания
- Катар
- Объединение Арабские Эмираты
- Польша
- Саудовская Аравия
- США
- Украина
Альтернативные названия группы
- SNAKEMACKEREL
- Swallowtail
- Group 74
- Sednit
- Sofacy
- Pawn Storm
- APT28
- STRONTIUM
- Tsar Team
- Threat Group-4127
- TG-4127
Отчеты Positive Technologies и других исследователей
- https://www.crowdstrike.com/wp-content/brochures/FancyBearTracksUkrainianArtillery.pdf
- https://unit42.paloaltonetworks.com/unit42-sofacys-komplex-os-x-trojan/
- https://unit42.paloaltonetworks.com/a-look-into-fysbis-sofacys-linux-backdoor/
- https://www.trendmicro.de/cloud-content/us/pdfs/security-intelligence/white-papers/wp-operation-pawn-storm.pdf
- https://documents.trendmicro.com/assets/wp/wp-two-years-of-pawn-storm.pdf
- https://www.welivesecurity.com/wp-content/uploads/2016/10/eset-sednit-part1.pdf
- https://www.fireeye.com/content/dam/fireeye-www/global/en/current-threats/pdfs/rpt-apt28.pdf
- http://download.bitdefender.com/resources/media/materials/white-papers/en/Bitdefender_In-depth_analysis_of_APT28%E2%80%93The_Political_Cyber-Espionage.pdf
- https://www.microsoft.com/security/blog/2015/11/16/microsoft-security-intelligence-report-strontium/?source=mmpc
- https://threatconnect.com/blog/does-a-bear-leak-in-the-woods/
- https://blog.trendmicro.com/trendlabs-security-intelligence/pawn-storm-targets-german-christian-democratic-union/
- https://www.welivesecurity.com/wp-content/uploads/2016/10/eset-sednit-part-2.pdf
- https://www.welivesecurity.com/2014/11/11/sednit-espionage-group-attacking-air-gapped-networks/
- https://www.welivesecurity.com/2014/10/08/sednit-espionage-group-now-using-custom-exploit-kit/
- https://securelist.com/sofacy-apt-hits-high-profile-targets-with-updated-toolset/72924/
- https://securelist.com/a-slice-of-2017-sofacy-activity/83930/
- https://securelist.com/zebrocys-multilanguage-malware-salad/90680/
- https://www.welivesecurity.com/2019/05/22/journey-zebrocy-land/
- https://www.welivesecurity.com/2018/04/24/sednit-update-analysis-zebrocy/
- https://www.welivesecurity.com/2019/09/24/no-summer-vacations-zebrocy/
Тактики из MITRE ATT&CK, использованные группой
| ID | Название | Описание |
|---|---|---|
| Resource Development | ||
| T1583.001 | Domains | Группа Fancy Bear зарегистрировала домены, имитирующие сайты НАТО, сайты безопасности ОБСЕ, информационные ресурсы Кавказа и другие организации |
| Initial Access | ||
| T1566.002 | Spearphishing Link | Группа Fancy Bear использовала сервисы, сокращающие URL в целенаправленном фишинге, для того чтобы выдавать URL за легитимный сервис и переадресовывать жертв на сайты, собирающие учетные записи |
| T1566.001 | Spearphishing Attachment | Группа Fancy Bear использовала целенаправленный фишинг, содержащий прикрепленные документы Microsoft Office |
| T1199 | Trusted Relationship | Группа Fancy Bear использовала доступ к DCCC-сети для получения доступа к DNC-сети |
| T1190 | Exploit Public-Facing Application | Группа Fancy Bear проводила атаки с использованием внедрения SQL-кода на внешние веб-сайты организаций |
| Execution | ||
| T1559.002 | Dynamic Data Exchange | Группа Fancy Bear доставляла JHUHUGIT и Koadic с помощью PowerShell-команд, исполняемых через DDE в документах Word |
| T1204.002 | Malicious File | Группа Fancy Bear пыталась заставить пользователем открыть прикрепленные документы Microsoft Office, содержащие вредоносные скрипты |
| T1059.001 | PowerShell | Группа Fancy Bear загружала и исполняла PowerShell-скрипты |
| T1059.003 | Windows Command Shell | Группа Fancy Bear использовала CMD- и BAT-скрипты для запуска полезной нагрузки. Группа также использовала макросы для исполнения полезной нагрузки |
| T1203 | Exploitation for Client Execution | Группа Fancy Bear эксплуатировала уязвимость Microsoft Office (CVE-2017-0262) |
| Persistence | ||
| T1037.001 | Logon Script (Windows) | Группа Fancy Bear использует ключ реестра HKCU\Environment\UserInitMprLogonScript для закрепления на зараженной машине |
| T1542.003 | Bootkit | Группа Fancy Bear разворачивала bootkit, который обеспечивает закрепление в системе компонента Downdelph. Bootkit имеет пересечения по коду с вариантами BlackEnergy |
| T1137.002 | Office Test | Группа Fancy Bear использовала Office Test механизм закрепления, добавляя ключ реестра HKCU\Software\Microsoft\Office test\Special\Perf |
| Privilege Escalation | ||
| T1546.015 | Component Object Model Hijacking | Группа Fancy Bear использовала перехват COM для закрепления на зараженной машине, заменяя легитимный объект MMDeviceEnumerator на полезную нагрузку |
| T1068 | Exploitation for Privilege Escalation | Группа Fancy Bear эксплуатировала CVE-2014-4076, CVE-2015-2387, CVE-2015-1701, CVE-2017-0263 для повышения привилегий |
| Defense Evasion | ||
| T1564.001 | Hidden Files and Directories | Группа Fancy Bear сохраняла файлы на диске, устанавливая для них атрибут «Скрыт» |
| T1070.006 | Timestomp | Группа Fancy Bear использовала технику timestomping, взяв за основу файлы жертвы |
| T1070.001 | Clear Windows Event Logs | Группа Fancy Bear очищала системные журналы, используя команды wevtutil cl System и wevtutil cl Security |
| T1211 | Exploitation for Defense Evasion | Группа Fancy Bear эксплуатировала CVE-2015-4902 |
| T1134.001 | Token Impersonation/Theft | Группа Fancy Bear использовала CVE-2015-1701 для доступа к токену пользователя SYSTEM и назначения его своему процессу |
| T1550.002 | Pass the Hash | Группа Fancy Bear использовала технику pass the hash для перемещения в сети |
| T1078 | Valid Accounts | Группа Fancy Bear использовала легитимные учетные данные для осуществления первоначального доступа и выгрузки данных из сетей жертв. Группа также использовала стандартные учетные данные производителей для первоначального доступа в сети жертв через IoT-устройства, такие как VoIP-телефоны, принтеры и т. д. |
| T1218.011 | Rundll32 | Группа Fancy Bear исполняла CHOPSTICK, используя rundll32: rundll32.exe ?C:\Windows\twain_64.dll?. Группа Fancy Bear сохраняла BAT-скрипт, который использовал rundll32 для запуска полезной нагрузки |
| T1070.004 | File Deletion | Группа Fancy Bear намеренно удаляла файлы для сокрытия собственных перемещений, включая использование утилит, например Ccleaner |
| T1027 | Obfuscated Files or Information | Группа Fancy Bear зашифровывала полезную нагрузку с помощью RTL и кастомного шифрования. Группа Fancy Bear также обфусцировала полезную нагрузку с помощью Base64, XOR и RC4 |
| T1014 | Rootkit | Группа Fancy Bear использовала руткит UEFI (Unified Extensible Firmware Interface), известный как LoJax |
| T1140 | Deobfuscate/Decode Files or Information | Группа Fancy Bear использовала команды certutil -decode для декодирования контента .txt-файлов, хранящих закодированную в Base64 полезную нагрузку |
| T1221 | Template Injection | Группа Fancy Bear использовала remote template в документах Microsoft Word |
| T1550.001 | Application Access Token | Группа Fancy Bear использовала различные приложения, использующие OAuth-токены, для получения доступа к почтовым аккаунтам, включая Gmail и Yahoo Mail |
| T1564.003 | Hidden Window | Группа Fancy Bear использовала WindowStyle-параметр для сокрытия PowerShell-окон |
| Credential Access | ||
| T1040 | Network Sniffing | Группа Fancy Bear разворачивала утилиту с открытым исходным кодом Responder для проведения атаки NetBIOS Name Service Poisoning, что позволило им получить доступ к учетным данным. Группа Fancy Bear перехватывала Wi-Fi-сигналы с целью мониторинга и доступа к учетным данным |
| T1003.001 | LSASS Memory | Группа Fancy Bear регулярно использовала публично доступные утилиты (ex: Mimikatz) для сбора учетных данных на зараженных компьютерах жертвы |
| T1528 | Steal Application Access Token | Группа Fancy Bear использовала различные вредоносные приложения для кражи пользовательских OAuth-токенов доступа, включая маскировку под Google Defender, Google Email Protection и Google Scanner для пользователей Gmail. Для Yahoo использовалась маскировка Delivery Service и McAfee Email Protection |
| T1003 | OS Credential Dumping | Группа Fancy Bear регулярно использовала публично доступные утилиты (ex: Mimikatz) сбора учетных данных на зараженных компьютеров жертвы |
| T1110.003 | Password Spraying | Группа Fancy Bear использовала утилиты password spraying |
| T1110.001 | Password Guessing | Группа Fancy Bear использовала утилиты password bruteforce |
| Discovery | ||
| T1120 | Peripheral Device Discovery | Группа Fancy Bear использовала модуль для получения уведомлений о подключаемых к зараженному компьютеру USB-устройствах |
| T1083 | File and Directory Discovery | Группа Fancy Bear использовала команду cmd forfiles для обнаружения документов PDF, Excel и Word |
| T1057 | Process Discovery | Группа Fancy Bear использовала загрузчик, который собирает список процессов |
| Lateral Movement | ||
| T1091 | Replication Through Removable Media | Модули ВПО CHOPSTICK использовали USB-носители для распространения в изолированные сети, а также использовали файлы на USB для передачи команд из изолированных сетей |
| T1210 | Exploitation of Remote Services | Группа Fancy Bear эксплуатировала уязвимость Windows SMB RCE для перемещения в сети жертвы |
| Collection | ||
| T1114.002 | Remote Email Collection | Группа Fancy Bear собирала email-адреса с Exchange-серверов своих жертв |
| T1113 | Screen Capture | Группа Fancy Bear использовала утилиты для создания скриншотов с зараженных компьютеров жертв |
| T1213.002 | Sharepoint | Группа Fancy Bear собирала информацию с сервисов Microsoft SharePoint, расположенных внутри атакуемых сетей |
| T1119 | Automated Collection | Группа Fancy Bear использовала публично доступные инструменты для сбора и компрессии множества документов в сетях жертв |
| T1025 | Data from Removable Media | Группа Fancy Bear использовала имплант, который может собирать содержимое USB-устройств |
| T1074.001 | Local Data Staging | Группа Fancy Bear хранила собранные учетные данные в файле с именем pi.log |
| T1005 | Data from Local System | Группа Fancy Bear собирала внутренние документы с компьютеров внутри сети жертв, используя forfiles перед выгрузкой данных |
| T1560 | Archive Collected Data | Группа Fancy Bear использовала публично доступные утилиты для сбора и компрессии документов в сети жертвы |
| T1056.001 | Keylogging | Группа Fancy Bear использовала утилиты для выполнения логирования нажатия клавиш |
| Command And Control | ||
| T1001.001 | Junk Data | Группа Fancy Bear добавляла «мусорные данные» к каждой закодированной строке, предотвращая декодирование строки без знания алгоритма удаления мусора. Каждому имплантату при создании присваивалось значение Junk Length, которое отслеживалось ВПО, чтобы обеспечить беспрепятственный обмен данными с С2, но не допустить анализа командного протокола при мониторинге соединения |
| T1105 | Ingress Tool Transfer | Группа Fancy Bear использовала мультиэтапную доставку имплантов с С2 до компьютера жертвы |
| T1092 | Communication Through Removable Media | Группа Fancy Bear использовала утилиты, которые захватывают информацию с изолированных сетей через зараженные USB и передает ее на компьютеры, соединенные с интернетом |
| T1071.003 | Mail Protocols | Группа Fancy Bear использовала SMTP как канал взаимодействия в различных имплантах: сначала использовали учетные записи Gmail, позже использовали почтовые серверы жертв |
| T1090.002 | External Proxy | Группа Fancy Bear использовала сети своих жертв как прокси для перенаправления трафика с C2. К примеру, скомпрометированный почтовый сервер грузинских военных использовался как прокси для доступа к жертвам в НАТО. Группа также использовала утилиты, позволяющие создавать прокси в случаях, когда жертва находится за роутером |
| T1573.001 | Symmetric Cryptography | Группа Fancy Bear устанавливала бэкдор Delphi, который использовал специально адаптированные алгоритм для взаимодействия с С2 |
| T1043 | Commonly Used Port | Группа Fancy Bear использовала порт 443 для С2 |
| T1071.001 | Web Protocols | Более поздние имплантаты, применяемые Fancy Bear, такие как CHOPSTICK, используют различные легитимные каналы для C2 в зависимости от конфигурации модуля |
| Impact | ||
| T1498 | Network Denial of Service | В 2016 году Группа Fancy Bear провела DDoS-атаку против WADA |
