Siber güvenlik uzmanları tarafından APT28 olarak adlandırılan Fancy Bear, 2007’den beri küresel olarak sızan hükümetler, askeri kuruluşlar ve stratejik varlıklar için ünlü sofistike bir Rus siber boyama kolektif operasyonunu temsil ediyor.
Sofacy, Sednit, Strontium ve Unit 26165 gibi takma adlar altında da bilinen bu grup, finansal kazanç, itibar sabotajı, casusluk ve siyasi gündemleri kapsayan motivasyonlar peşinde.
Operasyonları sık sık ofis süitleri, işletim sistemleri ve web uygulamalarındaki güvenlik açıklarından yararlanır, forfiller, computrace, arazi tekniklerinde yaşayan, bayiler, sedkit ve mimikatz gibi araçlar kullanır.
Fancy Bear’ın Siber Casusluk Mirası’na Genel Bakış
Fancy Bear’ın Arsenal, Steelhook, Headlace, Sedreco, Winexe, Oceanmap, Oldbait, Procdump, Skinnyboy, Xagentosx, Drovorub, Drovorub, Fysbis, Downdelph, ictoreshell, Crosepon, Wooseegnel, Sroftoreshell, Sooseegnel, Cancereshell gibi kötü amaçlı yazılım varyantlarını içerir. Foozer, Vpnfilter, Koadic, Coreshell, Kompleks, Slimagent, Jhuhugit, SedUploader, Zebrocy, Pythocydbg, Beardshell, Pocodown, Masepie, Nimcy ve LoJax.
Cyfirma raporuna göre, bu implantlar Afganistan, Brezilya, Kamboçya, Fransa, Georgia, Almanya, Hindistan, Endonezya, Kazakistan, Malezya, Malezya, Moldova, Pakistan, Turk, Romanya gibi hedefli ülkeler arasında kalıcı erişimi, veri açığa çıkmasını ve komuta yürütülmesini kolaylaştırır, Run, Run, Run, Roman, İngiltere Vietnam ve Avustralya.
Miter ATT & CK çerçevesi ile hizalanan Fancy Bear, hedefler üzerinde zeka toplamak için T1598 (bilgi için kimlik avı) ve T1595.002 (güvenlik açığı taraması) gibi keşif tekniklerini kullanır.
Kaynak geliştirme için, T1583.006 (Web Hizmetleri) ve yetenekleri T1588.002 (Araç) aracılığıyla altyapı satın alırlar.
İlk erişim, T1189 (sürücüden uzlaşma), T1566.001/002 (kimlik avı: spearphing eki/bağlantı) ve T1190 (kamuoyuna bakan uygulama) ile elde edilir, genellikle kötü niyetli makrolar veya sahtekarlık alanlarına bağlantılardan yararlanır.
Yürütme, T103 (istemci yürütme için sömürü), T1059.003 (komut ve komut dosyası tercümanı: Windows komut kabuğu) ve T1204.001/002’yi (kullanıcı yürütme: kötü amaçlı bağlantı/dosya) içerir.
Kalıcılık T1547.001 (Boot veya Logon Autostart Yürütme: Kayıt Defteri Çalıştırma Anahtarları/Başlangıç Klasörü) ve T1505.003 (Sunucu Yazılımı Bileşeni: Web Kabuğu) ile korunurken, ayrıcalık yükseltme T1068 (ayrıcalık artışı için sömürü) ve T1078 (geçerli hesaplar) kullanır.
Savunma kaçakçılığı taktikleri arasında T1027 (gizlenmiş dosyalar veya bilgiler), T1070.004 (gösterge kaldırma: dosya silme) ve T1564.001 (Artefaktları Gizle: Gizli Dosyalar ve Dizinler) bulunur.
Kimlik bilgisi erişimi, T1083 (dosya ve dizin keşfi) ve T1040 (ağ koklaması) üzerinden keşifle T1003 (OS kimlik bilgisi dökümü) ve T1110’a (kaba kuvvet) dayanır.
Koleksiyon, T1041 (C2 kanalı üzerinde eksfiltrasyon) veya T1567 (Web hizmeti üzerinden eksfiltrasyon) üzerinde eksfiltrasyona yol açan T1005 (yerel sistemden veriler) ve T1113’ü (ekran yakalama) kapsar.
Komut ve Kontrol, T1071.001 (Uygulama Katmanı Protokolü: Web Protokolleri) ve T1105 (Giriş Takımı Aktarımı) kullanır, genellikle tehlikeye atılan proxy’ler aracılığıyla yönlendirilir.
Yan hareket, kaynak kaçırma yoluyla T1498 (ağ hizmet reddini) gibi etkilerle sonuçlanan T1021.002 (uzaktan hizmetler: SMB/Windows Yönetici hisseleri) ve T1210’u (uzaktan hizmetlerin kullanımı) içerir.
Sömürülen güvenlik açıkları
Son operasyonlarda, Fancy Bear, CVE-2023-23397 (Microsoft Outlook ayrıcalık yüksekliği), CVE-2023-38831 (Winrar kod yürütme) ve CVE-2023-20085 gibi güvenlik açıklarından yararlanan Ukrayna çatışması arasında yoğun çabalar göstermiştir.
Kampanyalar Ukraynalı yetkilileri ve Batı askeri tedarikçilerini, roundcube, Horde, MDAemon ve Zimbra gibi webmail platformlarında, CVE-2023-43770 Roundcube’de CVE-2023-43770 dahil olmak üzere siteler arası senaryo (XSS) kusurlarını kullanıyor.
Özel JavaScript yükleri e-postaları, kişileri ve kimlik bilgilerini, sahte giriş istemleri yoluyla iki faktörlü kimlik doğrulamayı atlar.
Daha geniş bir casusluk, çokuluslu istihbarat danışmanlarında belirtildiği gibi Ukrayna’ya yardım eden lojistik firmalarını vurur, hatvibe yükleyicileri ve Cherryspy backdours’u zebrocy implantlarıyla örtüşmek için meşru belgeleri taklit eden özel yemleri kullanır.
Trendler, Orta Asya ve Avrupalı yetkilileri enfekte etmek için Kazak Hükümeti dosyaları gibi sofistike kimlik avı ile birlikte sofistike kimlik avı taklit ediyor.
Uyarlama, kötü amaçlı yazılım rotasyonu, gizleme, olay günlüğü temizleme ve C2 için meşru altyapı kötüye kullanımı, kaçırma artışı içerir.
Kimlik bilgisi hasat merkezi olarak kalır ve farklı kurbanlar arasında kalıcı erişim sağlarken, Guccifer 2.0 gibi kişiler aracılığıyla tarihsel dezenformasyon, melez savaş yaklaşımının altını çizer.
Bu TTP’ler Fancy Bear’ın evrimini vurgular ve teknik gücü sürekli siber hakimiyet için sosyal mühendislik ile harmanlar.
Get Free Ultimate SOC Requirements Checklist Before you build, buy, or switch your SOC for 2025 - Download Now