Threat Intelligence

APT28 (Fancy Bear) Detection en Verdediging in Microsoft 365 Omgevingen

PE
Community Lead
Cloud Security Specialist
5 oktober 2024 27 min lezen
THREAT INTEL OSINT Microsoft Dark Web ISAC IOCs 47 New today Analysis AI Active Threats Malware 12 Phishing 8 APT 3 Threat Score Medium Live

Advanced Persistent Threats (APT's) verschillen fundamenteel van opportunistische cybercrime. Waar ransomwaregroepen willekeurig organisaties bestoken in de hoop op losgeld, werken statelijke actoren vanuit concrete inlichtingenopdrachten en zetten zij langdurige, goed voorbereide campagnes op. APT28, ook bekend als Fancy Bear, wordt door Westerse inlichtingendiensten toegeschreven aan de Russische militaire inlichtingendienst (GRU) Unit 26165. De groep beschikt over ruime middelen, maatwerkmalware en ervaren operators die ondanks eerdere onthullingen hardnekkig actief blijven.

Nederlandse overheidsorganisaties staan structureel op de radar van APT28 vanwege de NAVO-rol van Nederland, de invloed in EU-beleid, de aanwezigheid van internationale tribunalen in Den Haag en de kritieke infrastructuur rond energie, telecom en defensie-industrie. Microsoft Threat Intelligence, het NCSC en commerciële partijen als Mandiant hebben meerdere APT28-campagnes tegen Nederlandse ministeries, defensieleveranciers, telecombedrijven en energiebeheerders beschreven. Deze gids bundelt de belangrijkste bevindingen en vertaalt ze naar concrete detectie- en verdedigingsmaatregelen binnen Microsoft 365.

Wat je leert

Een volledig overzicht van APT28: historische campagnes (2004-heden), bekende aanvallen op Nederlandse organisaties, MITRE ATT&CK-gekoppelde tactieken en technieken, gebruikte malwarefamilies (X-Agent, Zebrocy, Komplex, LoJax), infrastructuurpatronen en indicatoren, detectiestrategieën binnen Microsoft 365, huntingqueries voor Defender en Sentinel, incidentresponsmaatregelen bij statelijke compromittering en hardeningmaatregelen die de kans op een geslaagde aanval verkleinen.

Pro tip

Richt een specifiek awareness-programma in voor bestuurders en beleidsmakers. APT28 besteedt weken aan open-sourceonderzoek (LinkedIn, Kamervragen, conferentieprogramma's) om geloofwaardige spear-phishingmails te maken die verwijzen naar echte projecten of bijeenkomsten. Een Nederlands ministerie voorkwam een compromittering omdat een directeur de training had gevolgd en een zogenaamd 'agenda-update'-document meldde. Onderzoek toonde een nagemaakt Office 365-inlogportaal aan. Combineer gerichte training met strikte e-mailauthenticatie (DMARC, DKIM, SPF) zodat spoofing minder kans krijgt.

APT28 Threat Actor Profile: Capabilities, Motivaties en Target Selection

Achtergrond en opdrachtgeverschap

APT28 wordt door de meeste Westerse inlichtingendiensten gekoppeld aan de Russische militaire inlichtingendienst GRU, specifiek Unit 26165 in Moskou. Openbare aanklachten van de VS uit 2018 en 2020 noemen individuele officieren die betrokken waren bij onder meer de DNC-hack en de poging om het OPCW in Den Haag te compromitteren. De groep is al sinds minimaal 2004 actief en heeft zich ontwikkeld van relatief eenvoudige malwarecampagnes in de Kaukasus tot wereldwijd opererende, technisch zeer volwassen operaties met zero-days, supply-chain-aanvallen en zelfs fysieke ondersteuningsteams.

De doelstellingen sluiten naadloos aan op Russische geopolitieke belangen: inzicht in NAVO-plannen, EU-besluitvorming, sanctieregimes en dossiers rondom Oekraïne; spionage bij defensiebedrijven en energieconcerns; beïnvloeding van verkiezingen en politieke processen; en verstoring van organisaties die Rusland onderzoeken. Nederlandse organisaties lopen verhoogd risico vanwege de NAVO-positie, internationale tribunalen, de rol bij MH17-onderzoek en de aanwezigheid van hoogwaardige technologiebedrijven.

Gedocumenteerde targeting van Nederlandse organisaties

De ontmantelde operatie bij het OPCW in 2018 illustreert de prioriteit die Den Haag heeft voor APT28: vier GRU-medewerkers met apparatuur voor wifi-inbraak werden op heterdaad betrapt terwijl zij vanaf een gehuurde auto verbinding probeerden te maken met het netwerk van het OPCW. Ook het Joint Investigation Team dat MH17 onderzoekt, meldde tussen 2015 en 2019 een reeks spear-phishingcampagnes en inbraakpogingen. Daarnaast zijn politieke partijen, coalitieonderhandelaars en denktanks benaderd om beleidsdocumenten en interne strategieën buit te maken.

Handelswijze en levenscyclus

APT28 investeert veel tijd in de voorbereidingsfase. Doelwitten worden in kaart gebracht via sociale media, Kamerstukken, conferentieagenda's en netwerkdiagrammen. Daaruit ontstaan zeer geloofwaardige spear-phishingmails met verwijzingen naar echte ontmoetingen of documenten. Links leiden naar perfect nagemaakte inlogpagina's voor Microsoft 365, VPN-portalen of e-maildiensten. Met realtime phishing-proxy's wordt zelfs meervoudige authenticatie omzeild: de gebruiker voert de code in, waarna de aanvaller direct inlogt.

Na het bemachtigen van inloggegevens volgt vaak de inzet van maatwerkmalware. Bekende families zijn X-Agent (volwaardige backdoor), Zebrocy (downloader), Komplex (macOS), en LoJax (UEFI-rootkit die herinstallaties overleeft). Deze tools bieden zowel persistente toegang als mogelijkheden voor bestandsdiefstal, screenshots, credential dumping en laterale beweging. De groep houdt meestal meerdere toegangspunten achter de hand en kan maanden onopgemerkt aanwezig blijven. Activiteit verloopt in golven: na een fase van verkenning volgt een periode van relatieve stilte totdat nieuwe inlichtingenvereisten binnenkomen.

Detection Strategies: APT28 Indicators in Microsoft 365 Ecosystem

Detectie van spear-phishing

APT28 verdient zijn eerste toegang vrijwel altijd via doelgerichte phishing. Microsoft Defender for Office 365 biedt meerdere controles die elkaar versterken:

  • Safe Links herschrijft elke URL en voert een realtime reputatie- en gedragscheck uit zodra de gebruiker klikt. Bekende APT28-domeinen en gecompromitteerde websites worden automatisch geblokkeerd, ook wanneer ze pas na verzending kwaadaardig worden.
  • Safe Attachments laat verdachte bestanden eerst detoneren in een sandbox. Word- of PDF-bestanden die netwerkverbindingen opzetten, scripts starten of persistente instellingen wijzigen, worden verwijderd voordat de gebruiker de mail ziet.
  • Impersonation protection combineert DMARC/DKIM/SPF, domeinvergelijking en afwijkende afzendernamen. Berichten die lijken op een collega maar van buiten komen, krijgen een duidelijke waarschuwing en kunnen automatisch worden gequarantained.
  • Mailbox intelligence leert het normale communicatiepatroon per gebruiker. Plotselinge contacten met .ru-domeinen of onbekende diplomatieke adressen maken dat Defender berichten extra streng controleert.

Gedragsdetectie op endpoints

Wanneer phishing toch slaagt, moet Defender for Endpoint afwijkend gedrag snel signaleren:

  • PowerShell-misbruik: scripts met Base64-strings, download-en-uitvoer-combinaties (Invoke-WebRequest + Invoke-Expression) of Word/Outlook als ouderproces zijn directe indicatoren.
  • Procesinjectie: CreateRemoteThread- of process hollowing-activiteiten richting svchost.exe, explorer.exe of andere systeemprocessen komen nauwelijks voor in legitieme scenario's en wijzen op backdoors als X-Agent.
  • Credential dumping: toegang tot lsass.exe door niet-systeemprocessen, exports van de SAM/SECURITY-hives, of plotselinge vssadmin/ntdsutil-commando's moeten direct een hoogrisico-alert opleveren zodat laterale beweging kan worden voorkomen.

Netwerkindicatoren en C2

APT28 gebruikt zowel vaste infrastructuur als domain generation algorithms (DGA's) voor command-and-control. Let daarom op:

  • Beaconing met vaste intervallen naar nieuwe of anonieme hostingproviders. Defender network protection en Sentinel kunnen patronen herkennen waarbij elke 15 minuten kleine hoeveelheden data worden verzonden naar hetzelfde IP.
  • DGA-verkeer: veel mislukte DNS-queries naar willekeurig lijkende domeinen zijn vaak een voorbode van back-up-C2. Correlatie per endpoint maakt deze signalen zichtbaar.
  • Exfiltratie-anomalieën: grote uploads naar buitenlandse cloudopslag of versleutelde sessies naar ongebruikelijke regio's buiten kantooruren. Vergelijk het verkeer met historische baselines of gebruik Microsoft Sentinel UEBA-workbooks om afwijkingen te markeren.

Incident Response: Vermoedelijke APT28 Compromise Procedures

1. Verifiëren en escaleren

Leg alle indicatoren vast (Defender-alerts, IOC-hits, afwijkende aanmeldingen) en beoordeel de waarschijnlijkheid dat het om APT28 gaat. Combineer malwarehandtekeningen, infrastructuurkenmerken en tactieken met externe intel. Bij een hoge waarschijnlijkheid moet de CISO direct het NCSC informeren en - afhankelijk van de gevoeligheid - de AIVD en betrokken departementen.

2. Scope bepalen

Gebruik Microsoft Sentinel-huntingqueries om laterale beweging te reconstrueren: welke accounts zijn aangemeld vanaf verdachte IP-adressen, welke endpoints hebben verbinding gemaakt met dezelfde C2, welke mailboxen hebben forwardingregels gekregen? Neem aan dat er zich meer toegangspunten in het netwerk bevinden dan initieel zichtbaar en plan extra logretentie en geheugenforensiek.

3. Gecontroleerde containment

Maak een plan dat forensisch bewijs veiligstelt voordat systemen offline gaan. Verzamel geheugen-dumps, exporteer relevante logboeken, maak snapshots van virtuele machines en leg actuele netwerkflows vast. Als er actieve exfiltratie plaatsvindt of domeincontrollers in gevaar zijn, kies voor directe isolatie. In minder kritieke situaties kan een kort observatievenster (maximaal 24 uur) nuttig zijn om TTP's en infrastructuur volledig te documenteren.

4. Eradicatie en herstel

APT28 gebruikt meerdere simultane backdoors. Controleer daarom op scheduled tasks, services, WMI-events, registry-runsleutels, aangepaste DLL's en - indien hardware het toelaat - firmwaremanipulatie (LoJax). Herbouw systemen vanaf schone golden images en voer een organisatiebrede credential-rotatie door, inclusief serviceaccounts, VPN- en applicatiesleutels en de dubbele reset van het Kerberos-krbtgt-account. Rond af met een lessons-learnedrapport en een update aan bestuur en toezichthouders.

Defensive Hardening: Reducing Susceptibility tegen APT28 Techniques

E-mail en identiteit

  • DMARC op "reject": publiceer een strikt DMARC-beleid, monitor rapportages en dwing SPF/DKIM-correcties af zodat domeins spoofing onmogelijk wordt.

  • Externemarkeringen: laat Exchange of Defender voor Office 365 een opvallende banner plaatsen bij alle externe mails en blokkeer links naar niet-goedgekeurde domeinen voor gevoelig personeel.

  • Just-in-time privileged access: combineer Azure AD PIM met break-glass-accounts en hardwaretokens. Adminrechten zijn standaard uitgeschakeld en moeten expliciet worden aangevraagd, wat het misbruik van gestolen credentials beperkt.

Endpoints en infrastructuur

  • PowerShell beperken: blokkeer PowerShell voor standaardgebruikers via AppLocker/WDAC en log alle scriptuitvoering op beheersystemen. Voeg Controlled Folder Access en Attack Surface Reduction-regels toe voor macro's, credentialdiefstal en procesinjecties.

  • Credential Guard / LSA Protection: schakel virtualisatiegebaseerde beveiliging in zodat LSASS niet toegankelijk is voor tools als Mimikatz. Dit vereist moderne hardware, maar vermindert de kans op ticketdiefstal drastisch.

  • Privileged Access Workstations (PAW's): laat beheerders alleen vanaf geïsoleerde, geharde werkstations inloggen op Tier 0-rollen. Geen e-mail of internet op deze systemen; monitoring en logging zijn standaard ingeschakeld.

Netwerk en data

  • Microsegmentatie en MFA everywhere: isoleer kritieke workloads, beperk RDP/SMB tot beheersegmenten en forceer MFA voor alle externe en gevoelige applicaties.

  • DLP en encryptie: gebruik Microsoft Purview-labels voor vertrouwelijke documenten, automatische encryptie en Endpoint DLP-regels die downloads, USB-kopieën en print-naar-bestand beperken.

  • Continue validatie: voer maandelijks tabletop- of purple-team-oefeningen uit waarbij APT28-TTP's worden gesimuleerd. Pas beleid, playbooks en automatisering aan op basis van de bevindingen.

APT28 is een blijvende werkelijkheid voor Nederlandse publieke organisaties. Volledige preventie is onhaalbaar; succes zit in snelle detectie, directe respons en het beperken van dataverlies. Een goed ingestelde Microsoft 365-omgeving - met strakke e-mailbeveiliging, endpointtelemetrie, identity protection en Sentinel-analytics - vormt het technische fundament, maar komt alleen tot zijn recht met getrainde analisten en een geoefend incidentresponsproces. Ga uit van continue belangstelling van deze actor, deel bevindingen met het NCSC en sectorgenoten en gebruik elke detectie als input voor extra hardening. Zo groeit de weerbaarheid van zowel de eigen organisatie als de bredere overheid.

Bekijk meer artikelen over APT28, statelijke aanvallen en detectie in Microsoft 365
Bekijk artikelen →
APT28 Fancy Bear Threat Intelligence State-Sponsored Detection Incident Response