Fancy Bear nasila globalne operacje cybernetyczne. APT28 łączy PRISMEX, phishing i przejęcia routerów

securitybeztabu.pl 10 godzin temu

Wprowadzenie do problemu / definicja

APT28, znana również jako Fancy Bear, Forest Blizzard lub Pawn Storm, pozostaje jedną z najbardziej rozpoznawalnych grup cyberszpiegowskich powiązanych z rosyjskim wywiadem wojskowym. Najnowsze kampanie pokazują, iż ugrupowanie przez cały czas prowadzi szeroko zakrojone operacje przeciwko administracji publicznej, sektorowi obronnemu, infrastrukturze krytycznej oraz organizacjom wspierającym Ukrainę i państwa sojusznicze.

Na szczególną uwagę zasługuje fakt, iż APT28 nie opiera swoich działań wyłącznie na zaawansowanych exploitach. Grupa skutecznie łączy nowe komponenty malware, techniki obejścia zabezpieczeń i klasyczne metody, takie jak spear phishing, kradzież poświadczeń czy nadużycia słabiej chronionych urządzeń sieciowych.

W skrócie

  • Fancy Bear kontynuuje globalne działania ofensywne wymierzone w cele rządowe, wojskowe i strategiczne.
  • W ostatnich kampaniach wykorzystywano zestaw malware PRISMEX, ataki na poświadczenia NTLMv2 oraz podatności w Microsoft Outlook i środowisku Windows.
  • Istotnym elementem operacji stały się również przejęcia routerów SOHO i scenariusze DNS hijacking.
  • Skuteczność grupy wynika z połączenia zaawansowanych narzędzi z dobrze znanymi, przez cały czas efektywnymi technikami ataku.

Kontekst / historia

APT28 od lat jest kojarzona z operacjami cyberszpiegowskimi i działaniami zgodnymi z interesami geopolitycznymi Federacji Rosyjskiej. Grupa funkcjonuje co najmniej od połowy pierwszej dekady XXI wieku i była wielokrotnie łączona z atakami na instytucje rządowe, wojsko, organizacje międzynarodowe, sektor obronny oraz podmioty infrastruktury krytycznej.

Obecna fala aktywności potwierdza trwałość i zdolność adaptacji tego aktora. Z jednej strony obserwowane są nowe łańcuchy infekcji oraz malware wspierające szpiegostwo i potencjalny sabotaż. Z drugiej strony APT28 przez cały czas skutecznie wykorzystuje klasyczne wektory wejścia, takie jak phishing, przejęcia poświadczeń, utrzymywanie starszych mechanizmów uwierzytelniania czy kompromitacja brzegowych urządzeń sieciowych.

Taka strategia sprawia, iż zagrożone pozostają nie tylko największe instytucje państwowe. Ryzyko dotyczy również mniejszych organizacji, które mogą stanowić pośredni cel w łańcuchu dostaw i zostać wykorzystane do dotarcia do bardziej wartościowych zasobów.

Analiza techniczna

Jednym z kluczowych elementów ostatnich ustaleń jest kampania oparta na zestawie PRISMEX. Narzędzie to powiązano z atakami wymierzonymi w podmioty związane z obronnością Ukrainy oraz państw wspierających w Europie Środkowo-Wschodniej i w regionie NATO. Technicznie kampania obejmuje wieloetapowy łańcuch infekcji, łączący uruchamianie złośliwego kodu, obchodzenie zabezpieczeń, nadużycia komponentów COM oraz komunikację przez legalne usługi chmurowe wykorzystywane jako kanały C2.

Takie podejście znacząco utrudnia detekcję. Część ruchu sieciowego i artefaktów może wyglądać jak zwykła aktywność systemowa lub biznesowa, co pozwala napastnikom dłużej pozostawać niezauważonymi w środowisku ofiary. Dodatkowo PRISMEX nie ogranicza się wyłącznie do rozpoznania i eksfiltracji danych. W analizach wskazano również komponenty o charakterze sabotażowym, w tym polecenia mogące pełnić funkcję wipera.

Drugim ważnym obszarem aktywności były ataki relay związane z poświadczeniami NTLMv2. W scenariuszu tym wykorzystywano podatność Outlooka CVE-2023-23397. Odpowiednio spreparowane wiadomości lub pliki kalendarza mogły inicjować połączenie z serwerem SMB kontrolowanym przez napastnika, co umożliwiało pozyskanie wartości Net-NTLMv2 i ich dalsze użycie wobec systemów akceptujących NTLM. To szczególnie niebezpieczne w organizacjach, które przez cały czas utrzymują starsze modele uwierzytelniania.

Uzupełnieniem tych operacji były kampanie phishingowe, kradzież poświadczeń oraz wykorzystanie infrastruktury maskującej, takiej jak VPN, Tor, adresy centrów danych i przejęte routery. Takie warstwowe podejście pokazuje, iż APT28 nie opiera się na jednej technice, ale elastycznie dobiera metody do charakteru celu i spodziewanego efektu operacyjnego.

Szczególnie istotny jest wątek kompromitacji routerów SOHO. Z opublikowanych ostrzeżeń wynika, iż operatorzy Fancy Bear przejmowali podatne urządzenia brzegowe i modyfikowali ich ustawienia DNS oraz DHCP. Umożliwiało to przekierowywanie ruchu ofiar przez infrastrukturę kontrolowaną przez atakujących, realizację scenariuszy DNS hijacking oraz ataki typu adversary-in-the-middle. W praktyce oznacza to możliwość przechwytywania poświadczeń, tokenów sesyjnych oraz manipulowania ruchem do usług webowych i pocztowych.

Konsekwencje / ryzyko

Najważniejszy wniosek z obecnych kampanii jest prosty: do skutecznego działania APT28 nie są potrzebne wyłącznie najbardziej zaawansowane luki typu zero-day. Równie groźne okazują się zaniedbania w podstawowej higienie bezpieczeństwa, takie jak niezałatane systemy, brak wieloskładnikowego uwierzytelniania, utrzymywanie NTLM, słabe hasła administracyjne czy niewystarczająca segmentacja dostępu.

Ryzyko dla organizacji ma charakter wielowymiarowy. Po pierwsze, istnieje zagrożenie klasycznym cyberszpiegostwem, czyli kradzieżą dokumentacji, planów logistycznych, danych operacyjnych i informacji o łańcuchu dostaw. Po drugie, w środowiskach o wysokim znaczeniu strategicznym należy liczyć się z możliwością działań zakłócających, w tym niszczenia danych lub przygotowania gruntu pod późniejsze operacje destrukcyjne. Po trzecie, przejęcie urządzeń SOHO rozszerza powierzchnię ataku na pracę zdalną i infrastrukturę znajdującą się poza centralnie zarządzaną siecią korporacyjną.

Warto też podkreślić, iż celem nie muszą być wyłącznie największe instytucje. Mniejsze firmy, lokalna administracja czy partnerzy technologiczni również mogą zostać wykorzystani jako słabsze ogniwa prowadzące do adekwatnego celu. To klasyczny model ataku na łańcuch dostaw, który pozostaje wyjątkowo skuteczny wobec rozproszonych ekosystemów współpracy.

Rekomendacje

Organizacje powinny potraktować opisane kampanie jako wyraźny sygnał do przeglądu zarówno podstawowych, jak i bardziej zaawansowanych mechanizmów ochrony. W pierwszej kolejności konieczne jest szybkie wdrażanie poprawek bezpieczeństwa dla systemów Windows, Microsoft Office, Outlooka oraz urządzeń sieciowych, w tym routerów wykorzystywanych w pracy zdalnej i małych oddziałach.

  • Regularnie aktualizować systemy operacyjne, aplikacje biurowe i firmware urządzeń brzegowych.
  • Usunąć domyślne poświadczenia na routerach oraz kontrolować zmiany ustawień DNS i DHCP.
  • Wymusić MFA dla dostępu do usług krytycznych i administracyjnych.
  • Ograniczać lub wyłączać NTLM tam, gdzie to możliwe, oraz wdrażać zasadę najmniejszych uprawnień.
  • Segmentować sieć i ograniczać zaufanie do urządzeń spoza środowiska zarządzanego.
  • Monitorować nietypowe połączenia SMB, anomalie DNS, użycie usług chmurowych jako potencjalnych kanałów C2 oraz zmiany konfiguracji routerów.
  • Prowadzić szkolenia z rozpoznawania spear phishingu i innych technik socjotechnicznych.

Mniejsze organizacje powinny dodatkowo rozważyć wsparcie zewnętrzne, takie jak usługi MDR, współpracę z branżowymi centrami wymiany informacji o zagrożeniach oraz integrację z krajowymi strukturami reagowania. W przypadku działań prowadzonych przez zaawansowanego aktora państwowego szybka detekcja i odpowiedź mają najważniejsze znaczenie.

Podsumowanie

Najnowsze kampanie Fancy Bear potwierdzają, iż siła tej grupy nie wynika wyłącznie z dostępu do zaawansowanych narzędzi, ale przede wszystkim z umiejętnego łączenia klasycznych technik z nowoczesnym malware i elastyczną infrastrukturą operacyjną. PRISMEX, ataki na NTLMv2, nadużycia podatności Outlooka oraz kompromitacja routerów SOHO tworzą obraz przeciwnika, który skutecznie działa zarówno na poziomie endpointów, jak i warstwy sieciowej.

Dla obrońców najważniejszy wniosek jest praktyczny: szybkie łatanie systemów, silna kontrola tożsamości, segmentacja sieci oraz konsekwentne wdrażanie zasad zero trust pozostają najskuteczniejszą odpowiedzią na działania APT28. W starciu z takim przeciwnikiem przewagę daje nie spektakularna technologia, ale dobrze realizowane podstawy bezpieczeństwa.

Źródła

  1. Dark Reading — Russia’s 'Fancy Bear’ APT Continues Its Global Onslaught
  2. NCSC — APT28 exploit routers to enable DNS hijacking operations
  3. Microsoft Security Blog — SOHO router compromise leads to DNS hijacking and adversary-in-the-middle attacks
  4. NSA — NSA Supports FBI in Highlighting Russian GRU Threats Against Routers
Idź do oryginalnego materiału
  1. Strona główna
  2. Oszustwa
  3. Fancy Bear nasila globalne operacje cybernetyczne. APT28 łączy PRISMEX, phishing i przejęcia routerów

Powiązane

Kampania hack-for-hire powiązana z Bitter uderza w dziennikarzy w regionie MENA

Kampania hack-for-hire powiązana z Bitter uderza w dziennika...

10 godzin temu
Wyciek danych z MyLovely.AI ujawnia prywatne rozmowy, prompty i metadane ponad 100 tys. użytkowników

Wyciek danych z MyLovely.AI ujawnia prywatne rozmowy, prompt...

10 godzin temu
Google ostrzega przed kampanią UNC6783 wymierzoną w BPO i kradzież danych korporacyjnych

Google ostrzega przed kampanią UNC6783 wymierzoną w BPO i kr...

10 godzin temu
Chińskie superkomputery zhakowane, skradzione dane myśliwców, pocisków hipersonicznych. Giga-włamanie do krytycznej instytucji

Chińskie superkomputery zhakowane, skradzione dane myśliwców...

12 godzin temu
Polacy dalej nabierają się na ten typ oszustw. To spore zaskoczenie

Polacy dalej nabierają się na ten typ oszustw. To spore zask...

1 dzień temu
Phishingowy mail o fałszywych inwestycjach rzekomo firmowanych przez Sławomira Mentzena

Phishingowy mail o fałszywych inwestycjach rzekomo firmowany...

3 dni temu
Oszuści przenoszą kampanie SMS o mandatach do kodów QR

Oszuści przenoszą kampanie SMS o mandatach do kodów QR

3 dni temu
Ataki device code phishing rosną lawinowo wraz z popularyzacją nowych zestawów phishingowych

Ataki device code phishing rosną lawinowo wraz z popularyzac...

5 dni temu

Polecane

Szok na TurkStream: Materiały wybuchowe po groźbach wojny ze strony Viktora Orbána! | RFU News

Szok na TurkStream: Materiały wybuchowe po groźbach wojny ze...

16 godzin temu
SEKTA Z BRONIĄ CHEMICZNĄ. "NAJWYŻSZA PRAWDA" I GAZY BOJOWE

SEKTA Z BRONIĄ CHEMICZNĄ. "NAJWYŻSZA PRAWDA" I GAZY BOJOWE

1 dzień temu
Stan podwyższonej gotowości w największej elektrowni w Polsce. Rewolucyjny pomysł eksperta

Stan podwyższonej gotowości w największej elektrowni w Polsc...

2 dni temu
Prezydent Serbii Aleksandar Vučić ogłosił, iż jego służby wykryły ładunek wybuch…

Prezydent Serbii Aleksandar Vučić ogłosił, iż jego służby wy...

4 dni temu
Cztery granaty w Polance Wielkiej! Policja przez dobę strzegła, saperzy z Krakowa zabrali

Cztery granaty w Polance Wielkiej! Policja przez dobę strzeg...

1 tydzień temu
Policjanci i psy szkoleni w wykrywaniu narkotyków i materiałów wybuchowych

Policjanci i psy szkoleni w wykrywaniu narkotyków i materiał...

2 tygodni temu
Jak zadbać o bezpieczeństwo rodziny i firmy w dobie współczesnych zagrożeń? Pytania i odpowiedzi ekspertów

Jak zadbać o bezpieczeństwo rodziny i firmy w dobie współcze...

2 tygodni temu
Stopnie alarmowe w województwie łódzkim. Służby w gotowości

Stopnie alarmowe w województwie łódzkim. Służby w gotowości

2 tygodni temu
Fałszywe alarmy bombowe w polskich szkołach. Sprawcy nie mogą spać spokojnie

Fałszywe alarmy bombowe w polskich szkołach. Sprawcy nie mog...

3 tygodni temu