Fancy Bear bliver ved

Eskil Sørensen

04.13.2026 15:04

Fordi de gamle angreb stadig virker

Den russiske APT‑gruppe Fancy Bear (APT28 / Pawn Storm / Forest Blizzard) har været aktiv i næsten 20 år. Nye analyser fra Trend Micro viser, at gruppen fortsat rammer bredt og effektivt. Ikke ved konstant at opfinde nye teknikker, men ved at udnytte, at grundlæggende sikkerhed stadig halter mange steder.

Det skriver Dark Reading.

Fancy Bear forbindes med russisk militær efterretningstjeneste (GRU) og har tidligere været knyttet til både cyberespionage, valgindblanding og destruktive angreb. Det billede har ikke ændret sig, hedder det.

Prismex: Spionage med sabotage i baghånden

I en nylig kampagne har Fancy Bear anvendt malware‑platformen Prismex mod forsvars‑ og leverandørkæder i og omkring Ukraine samt flere NATO‑nære lande. Platformen udnytter både kendte og hidtil ukendte sårbarheder i Windows og Microsoft Office.

Teknisk kombinerer Prismex klassiske og avancerede metoder: COM‑hijacking, steganografi og misbrug af legitime cloud‑tjenester til command&control. Mere opsigtsvækkende er dog funktionaliteten. Ud over spionage er der observeret egentlige sabotagefunktioner, herunder wiper‑kommandoer.

Det understreger en udvikling, hvor Fancy Bear ikke længere kun indsamler information, men også forbereder destruktive handlinger som en integreret del af operationerne, skriver Dark Reading.

NTLM‑angreb: Når “patchet” ikke er nok

Parallelt har gruppen gennemført udbredte NTLMv2 hash‑relay‑angreb. Angrebene er blandt andet blevet udløst via phishing, der misbruger Outlook‑funktionalitet og får ofrets system til automatisk at forsøge autentificering mod angriberens infrastruktur.

Resultatet er ikke nødvendigvis en adgangskode, men en NTLM‑hash, som ofte er tilstrækkelig til videre kompromittering i miljøer, hvor ældre autentificeringsprotokoller stadig er tilladt.

At denne type angreb fortsat lykkes, peger på det velkendte problem, at legacy‑teknologier lever videre længe efter, at risikoen er veldokumenteret.

Routere og DNS: Det svage led, igen

Flere vestlige myndigheder har samtidig advaret om Fancy Bears systematiske kompromittering af SOHO‑routere. Her udnyttes kendte sårbarheder til at ændre DNS‑indstillinger og gennemføre adversary‑in‑the‑middle‑angreb.

Metoden er gammel, men effektiv – især fordi netværksudstyr ofte får langt mindre opmærksomhed end servere og endpoints.

Ifølge flere sikkerhedseksperter er konklusionen ikke, at man skal kunne matche Fancy Bears tekniske niveau. Før initial adgang er angrebene ofte banale: phishing, svage legitimationsoplysninger, manglende patching. Fordi de virker. Derfor ligger Fancy Bears styrke ikke i konstant innovation, men i vedholdenhed. Og i, at de samme grundlæggende sikkerhedsfejl stadig gentages, slutter Dark Reading.

Læs mere

https://www.darkreading.com/threat-intelligence/russias-fancy-bear-apt-continues-global-onslaught

Information