Fancy Bear schlägt zu – Fancy Bear strikes

Seit über zwei Jahren führt die russische GRU 85. GTsSS, Militäreinheit 26165 – in der Cybersicherheits-Community allgemein bekannt als APT28, Fancy Bear, Forest Blizzard, BlueDelta und unter einer Vielzahl anderer Bezeichnungen – diese Kampagne durch, wobei sie eine Mischung aus bekannten Taktiken, Techniken und Verfahren (TTPs) einsetzt, darunter rekonstituierte Passwort-Spraying-Fähigkeiten, Spearphishing und die Änderung von Microsoft Exchange-Postfachberechtigungen. Ende Februar 2022 verstärkten mehrere staatlich geförderte russische Cyberakteure ihre vielfältigen Cyberoperationen zu Zwecken der Spionage, Zerstörung und Einflussnahme, wobei die Einheit 26165 vorwiegend an Spionageaktivitäten beteiligt war.

Da die russischen Streitkräfte ihre militärischen Ziele nicht erreichen konnten und westliche Länder Hilfe zur Unterstützung der territorialen Verteidigung der Ukraine leisteten, weitete die Einheit 26165 ihre Angriffe auf Logistikunternehmen und Technologieunternehmen aus, die an der Lieferung von Hilfsgütern beteiligt waren. Diese Akteure haben auch mit dem Internet verbundene Kameras an ukrainischen Grenzübergängen ins Visier genommen, um Hilfslieferungen zu überwachen und zu verfolgen.

Die Cyberkampagne der GRU-Einheit 26165 gegen westliche Logistikdienstleister und Technologieunternehmen richtete sich gegen Dutzende von Einrichtungen, darunter Regierungsorganisationen und private/kommerzielle Einrichtungen in praktisch allen Verkehrsträgern: Luft, See und Schiene. Diese Akteure haben Einrichtungen ins Visier genommen, die mit den folgenden Branchen in NATO-Mitgliedstaaten, der Ukraine und bei internationalen Organisationen in Verbindung stehen:

• Verteidigungsindustrie
• Transport und Verkehrsknotenpunkte (Häfen, Flughäfen usw.)
• Seeverkehr
• Flugverkehrsmanagement
• IT-Dienstleistungen

Im Laufe des Angriffszyklus identifizierten die Akteure der Einheit 26165 weitere Unternehmen im Transportsektor, die Geschäftsbeziehungen zum primären Ziel hatten, und führten Folgeangriffe durch, wobei sie Vertrauensbeziehungen ausnutzten, um zusätzlichen Zugriff zu erlangen.

Basierend auf Untersuchungen der Netzwerke der Opfer verwendet die aktuelle Version dieser TTP eine ähnliche Kombination aus Anonymisierungsinfrastruktur, einschließlich der Verwendung von Tor und kommerziellen VPNs [T1090.003]. Die Akteure wechselten häufig die verwendeten IP-Adressen, um die Erkennung weiter zu erschweren. Alle beobachteten Verbindungen wurden über verschlüsseltes TLS hergestellt.

Die Spearphishing-E-Mails der Akteure der GRU-Einheit 26165 enthielten Links zu gefälschten Anmeldeseiten, die sich als Webseiten verschiedener Regierungsstellen und westlicher Cloud-E-Mail-Anbieter ausgaben. Diese Webseiten wurden in der Regel auf kostenlosen Diensten von Drittanbietern oder kompromittierten SOHO-Geräten gehostet und verwendeten oft legitime Dokumente, die mit thematisch ähnlichen Stellen in Verbindung standen, als Köder. Die Themen der Spearphishing-E-Mails waren vielfältig und reichten von beruflichen Themen bis hin zu Themen für Erwachsene. Phishing-E-Mails wurden häufig über kompromittierte Konten oder kostenlose Webmail-Konten versendet. Die E-Mails waren in der Regel in der Muttersprache des Ziels verfasst und wurden an einen einzelnen Empfänger gesendet.

Während dieser Kampagne nutzte die GRU-Einheit 26165 eine Outlook-NTLM-Sicherheitslücke (CVE-2023-23397) aus, um NTLM-Hashes und Anmeldedaten über speziell gestaltete Outlook-Kalender-Einladungen zu sammeln. Diese Akteure nutzten auch eine Reihe von Roundcube-CVEs (CVE-2020-12641, CVE-2020-35730 und CVE-2021-44026), um beliebige Shell-Befehle auszuführen, Zugriff auf die E-Mail-Konten der Opfer zu erhalten und sensible Daten von E-Mail-Servern abzurufen. Seit mindestens Herbst 2023 nutzten die Akteure eine WinRAR-Sicherheitslücke (CVE-2023-38831), die die Ausführung von in einem Archiv eingebettetem beliebigem Code als Mittel für den ersten Zugriff ermöglichte.

Die Akteure versendeten E-Mails mit bösartigen Anhängen oder eingebetteten Hyperlinks, die ein mit dieser CVE erstelltes bösartiges Archiv herunterluden. TTP nach der Kompromittierung Nach einer ersten Kompromittierung unter Verwendung einer der oben genannten Techniken führten die Akteure der Einheit 26165 eine Erkundung der Kontaktinformationen durch, um weitere Ziele in Schlüsselpositionen zu identifizieren. Die Akteure führten auch eine Erkundung der Cybersicherheitsabteilung, der für die Koordinierung des Transports verantwortlichen Personen und anderer Unternehmen durch, die mit dem Opferunternehmen zusammenarbeiten.

Der Einsatz von Malware durch die Einheit 26165 in dieser Kampagne reichte vom Erlangen des ersten Zugriffs über die Etablierung von Persistenz bis hin zum Exfiltrieren von Daten. In einigen Fällen führte die Angriffskette dazu, dass mehrere Malware-Programme nacheinander eingesetzt wurden. Die Akteure nutzten die Entführung der Suchreihenfolge von Dynamic Link Libraries (DLL), um die Ausführung der Malware zu erleichtern. Es gab eine Reihe bekannter Malware-Varianten, die mit dieser Kampagne gegen Opfer aus dem Logistiksektor in Verbindung standen, darunter HEADLACE und MASEPIE. Andere Malware-Varianten wie OCEANMAP und STEELHOOK wurden zwar nicht direkt bei Angriffen auf Logistik- oder IT-Unternehmen beobachtet, doch ihre Verwendung gegen Opfer in anderen Sektoren in der Ukraine und anderen westlichen Ländern lässt vermuten, dass sie bei Bedarf auch gegen Logistik- und IT-Unternehmen eingesetzt werden könnten.

Zusätzlich zu dem oben erwähnten Missbrauch von Mailbox-Berechtigungen nutzten die Akteure der Einheit 26165 auch geplante Aufgaben, Run-Keys und platzierten bösartige Verknüpfungen im Startordner, um Persistenz herzustellen. Exfiltration Die Akteure der GRU-Einheit 26165 nutzten eine Vielzahl von Methoden zur Datenexfiltration, die je nach Umgebung des Opfers variierten, darunter sowohl Malware als auch Living-off-the-Land-Binärdateien. PowerShell-Befehle wurden häufig verwendet, um Daten für die Exfiltration vorzubereiten; beispielsweise bereiteten die Akteure ZIP-Archive für den Upload auf ihre eigene Infrastruktur vor. Die Akteure nutzten auch Server-Datenaustauschprotokolle und Anwendungsprogrammierschnittstellen (APIs) wie Exchange Web Services (EWS) und Internet Message Access Protocol (IMAP), um Daten von E-Mail-Servern zu exfiltrieren.

Anouck Teiller, Chief Strategy Officer HarfangLab kommentiert: „APT28 – auch bekannt als Fancy Bear – ist nicht einfach nur eine weitere Hackergruppe. Sie ist ein zentraler Bestandteil russischer Außenpolitik im digitalen Raum. Seit Jahren betreibt die Gruppe eine hochentwickelte Form hybrider Kriegsführung. Ihr Ziel: geopolitischer Einfluss durch gezielte Cyberoperationen.

Mit den jüngsten Angriffen auf politische Institutionen stehen Deutschland und andere westliche Demokratien im Fokus. Sie zeigen, wie präzise Fancy Bear Sicherheitslücken ausnutzt, um sich Zugang zu sensiblen E-Mails und Netzwerken zu verschaffen. Die Botschaft ist klar: Es geht nicht nur um Daten, sondern um die Integrität demokratischer Prozesse.

Ihre Anpassungsfähigkeit ist es, was Fancy Bear so bemerkenswert macht. Die Gruppe testet fortlaufend ihre Grenzen, agiert technisch ausgefeilt, hochproduktiv – und bleibt dabei weitgehend im Verborgenen. Was wir erkennen, ist oft nur die Spitze des Eisbergs.

Wer solche Angriffe als Einzelfälle abtut, verkennt das Muster. Fancy Bear agiert nicht zufällig, sondern systematisch – mit dem Ziel, Vertrauen zu untergraben, Institutionen zu destabilisieren und letztlich unsere demokratische Ordnung zu erschüttern. Eine öffentliche Zuordnung dieser Gruppen, wie sie nun von einer Vielzahl nationaler Cybersicherheitsbehörden vorgenommen wurde, ist von entscheidender Bedeutung, um diese Aktivitäten ans Licht zu bringen und eine bessere Vorbereitung auf deren Abwehr zu ermöglichen.“

For over two years, the Russian GRU 85th GTsSS, military unit 26165—commonly known in the cybersecurity community as APT28, Fancy Bear, Forest Blizzard, BlueDelta, and a variety of other identifiers—has conducted this campaign using a mix of known tactics, techniques, and procedures (TTPs), including reconstituted password spraying capabilities, spearphishing, and modification of Microsoft Exchange mailbox permissions. In late February 2022, multiple Russian state-sponsored cyber actors increased the variety of cyber operations for purposes of espionage, destruction, and influence—with unit 26165 predominately involved in espionage. [1] As Russian military forces failed to meet their military objectives and Western countries provided aid to support Ukraine’s territorial defense, unit 26165 expanded its targeting of logistics entities and technology companies involved in the delivery of aid. These actors have also targeted Internet-connected cameras at Ukrainian border crossings to monitor and track aid shipments.

The GRU unit 26165 cyber campaign against Western logistics providers and technology companies has targeted dozens of entities, including government organizations and private/commercial entities across virtually all transportation modes: air, sea, and rail. These actors have targeted entities associated with the following verticals within NATO member states, Ukraine, and at international organizations:

• Defense Industry
• Transportation and Transportation Hubs (ports, airports, etc.)
• Maritime
• Air Traffic Management
• IT Services

In the course of the targeting lifecycle, unit 26165 actors identified and conducted follow-on targeting of additional entities in the transportation sector that had business ties to the primary target, exploiting trust relationships to attempt to gain additional access.

Based on victim network investigations, the current iteration of this TTP employs a similar blend of anonymization infrastructure, including the use of Tor and commercial VPNs [T1090.003]. The actors frequently rotated the IP addresses used to further hamper detection. All observed connections were made via encrypted TLS.

GRU unit 26165 actors’ spearphishing emails included links leading to fake login pages impersonating a variety of government entities and Western cloud email providers’ webpages. These webpages were typically hosted on free third-party services or compromised SOHO devices and often used legitimate documents associated with thematically similar entities as lures. The subjects of spearphishing emails were diverse and ranged from professional topics to adult themes. Phishing emails were frequently sent via compromised accounts or free webmail accounts. The emails were typically written in the target’s native language and sent to a single targeted recipient.

Throughout this campaign, GRU unit 26165 weaponized an Outlook NTLM vulnerability (CVE-2023-23397) to collect NTLM hashes and credentials via specially crafted Outlook calendar appointment invitations. These actors also used a series of Roundcube CVEs (CVE-2020-12641, CVE-2020-35730, and CVE-2021-44026) to execute arbitrary shell commands, gain access to victim email accounts, and retrieve sensitive data from email servers. Since at least fall 2023, the actors leveraged a WinRAR vulnerability (CVE-2023-38831) allowing for the execution of arbitrary code embedded in an archive as a means of initial access. The actors sent emails with malicious attachments or embedded hyperlinks that downloaded a malicious archive prepared using this CVE. Post-Compromise TTPs After an initial compromise using one of the above techniques, unit 26165 actors conducted contact information reconnaissance to identify additional targets in key positions. The actors also conducted reconnaissance of the cybersecurity department, individuals responsible for coordinating transport, and other companies cooperating with the victim entity.

Unit 26165’s use of malware in this campaign ranged from gaining initial access to establishing persistence and exfiltrating data. In some cases, the attack chain resulted in multiple pieces of malware being deployed in succession. The actors used dynamic link library (DLL) search order hijacking [T1574.001] to facilitate malware execution. There were a number of known malware variants tied to this campaign against logistics sector victims, including HEADLACE and MASEPIE. While other malware variants, such as OCEANMAP and STEELHOOK, were not directly observed targeting logistics or IT entities, their deployment against victims in other sectors in Ukraine and other Western countries suggest that they could be deployed against logistics and IT entities should the need arise. Persistence In addition to the abovementioned mailbox permissions abuse, unit 26165 actors also used scheduled tasks, run keys, and placed malicious shortcuts in the startup folder to establish persistence. Exfiltration GRU unit 26165 actors used a variety of methods for data exfiltration that varied based on the victim environment, including both malware and living off the land binaries. PowerShell commands were often used to prepare data for exfiltration; for example, the actors prepared zip archives for upload to their own infrastructure. The actors also used server data exchange protocols and Application Programming Interfaces (APIs) such as Exchange Web Services (EWS) and Internet Message Access Protocol (IMAP)to exfiltrate data from email servers.

Anouck Teiller, Chief Strategy Officer at HarfangLab, comments: “APT28 – also known as Fancy Bear – is not just another hacker group. It is a central component of Russian foreign policy in the digital space. For years, the group has been engaged in a highly sophisticated form of hybrid warfare. Its goal: geopolitical influence through targeted cyber operations.

With the recent attacks on political institutions, Germany and other Western democracies are in the spotlight. They show how precisely Fancy Bear exploits security vulnerabilities to gain access to sensitive emails and networks. The message is clear: it’s not just about data, but about the integrity of democratic processes.

It is their adaptability that makes Fancy Bear so remarkable. The group continuously tests its limits, operates in a technically sophisticated and highly productive manner – and remains largely hidden. What we see is often only the tip of the iceberg.

Those who dismiss such attacks as isolated incidents fail to recognize the pattern. Fancy Bear does not act randomly, but systematically – with the aim of undermining trust, destabilising institutions and ultimately shaking our democratic order. Public attribution of these groups, as has now been done by a number of national cybersecurity authorities, is crucial to bringing these activities to light and enabling better preparation to defend against them.”