APT28 olarak da bilinen kötü şöhretli Rus siberislik grubu Fancy Bear, sofistike yeni araçlar ve tekniklerden oluşan bir cephanelik kullanarak dünya çapında hükümetlere ve askeri kuruluşlara karşı operasyonlarını yoğunlaştırdı.
2007’den beri aktif olan bu devlet destekli tehdit oyuncusu, ABD, Ukrayna, Almanya ve Fransa da dahil olmak üzere birçok kıtada yüksek değerli organizasyonları hedefleyen belgelenmiş bir geçmişe sahip en kalıcı ve tehlikeli siber rakiplerden biri olarak kendisini kurmuştur.
Son zeka, Fantezi Bear’ın, özellikle Ukrayna çatışmasına bağlı kuruluşlara ve askeri destek sağlayan Batı lojistik şirketlerine odaklanan taktik yeteneklerini önemli ölçüde genişlettiğini gösteriyor.
Grup, yaklaşımında dikkate değer bir uyarlanabilirlik gösterdi, kritik altyapıya ve hassas hükümet iletişimine kalıcı erişimi sürdürürken tespit edilmesinden kaçınmak için kötü amaçlı yazılım cephaneliğini ve saldırı metodolojilerini sürekli olarak geliştirdi.
Cyfirma analistleri, grubun son kampanyasını Ukraynalı yetkilileri ve askeri tedarikçileri hedefleyen son derece sofistike mızrak avcılık operasyonları ile belirledi.
Bu saldırılar, Roundcube, Horde, MDAemon ve Zimbra dahil olmak üzere yaygın olarak kullanılan webmail platformlarında siteler arası komut dosyası açısından yararlanarak, saldırganların e-posta mesajları, adres defterleri ve oturum açma kimlikleri gibi hassas verileri sunabilen özel JavaScript kötü amaçlı yazılım yüklerini dağıtmasına izin verir.
Grubun son zamanlarda CVE-2023-23397, CVE-2023-38831 ve CVE-2023-20085’den sömürü, yeni keşfedilen güvenlik açıklarına hızlı adaptasyonlarını göstermektedir.
.webp)
Saldırı zincirleri genellikle güvenlik ayarlarını düşüren ve hatvibe ve cherryspy de dahil olmak üzere kötü amaçlı yazılım aileleri aracılığıyla kalıcı arka kapı erişimini sağlayan kötü amaçlı makrolar içeren silahlandırılmış belgelerle başlar.
Gelişmiş kalıcılık ve kaçınma mekanizmaları
Fancy Bear’ın kalıcılık taktikleri, sofistike anti-analiz tekniklerini ve kimlik bilgisi hasat yeteneklerini içerecek şekilde gelişti.
HatVibe kötü amaçlı yazılım, dört dakikada bir yürüten bir yükleyici olarak işlev görerek, tehlikeye atılan sistemlere sürekli gizli erişim sağlayan Cherryspy Backdoor’u getirir ve dağıtır.
Bu enfeksiyon zinciri, grubun topraklama teknikleri ustalığını, PowerShell gibi meşru sistem araçlarını ve geleneksel güvenlik çözümlerinin tespitinden kaçınırken kalıcılığı korumak için planlanmış görevleri kullanarak gösteriyor.
Tespiti artırın, uyarı yorgunluğunu azaltın, yanıtı hızlandırın; Güvenlik ekipleri için inşa edilmiş etkileşimli bir sanal alan ile hepsi -> Herhangi bir deneyin.