Saint Bear

APT / StateG1031
OriginRússia
Techniques (MITRE ATT&CK)18
SourceMITRE ATT&CK
Also known as:Storm-0587TA471UAC-0056Lorec53

Vexday analysis

Saint Bear é um agente de ameaça de origem russa ativo desde o início de 2021, com atuação voltada principalmente a entidades na Ucrânia e na Geórgia. O grupo é associado ao uso de ferramentas específicas — o trojan de acesso remoto Saint Bot e o infostealer OutSteel —, empregando como vetor de acesso inicial phishing ou hospedagem web de documentos maliciosos, frequentemente se passando por entidades governamentais. Embora tenha sido confundido anteriormente com operações do Ember Bear, análises de comportamento, ferramentas e alvos indicam que se trata de um cluster distinto. O grupo possui 18 técnicas documentadas no MITRE ATT&CK e 1 CVE atribuída, sendo rastreado também pelos aliases Storm-0587, TA471, UAC-0056 e Lorec53.

Techniques (MITRE ATT&CK) 18

How the group operates, mapped to the MITRE ATT&CK matrix and organized by the phases of an attack.

Reconnaissance
Email Addresses
Resource development
Web ServicesUpload Malware
Initial access
Spearphishing Attachment
Execution
Command and Scripting InterpreterPowerShellWindows Command ShellJavaScriptExploitation for Client ExecutionMalicious LinkMalicious File
defense-impairment
Modify RegistryCode SigningDisable or Modify Tools
stealth
Software PackingEncrypted/Encoded FileVirtualization/Sandbox EvasionImpersonation

Exploited vulnerabilities 1

CVEs this group is known to exploit, per MITRE ATT&CK. Ordered by real-world severity.

CVE-2017-11882HIGHEPSS 100%KEV

Saint Bear uses real techniques and exploits real flaws. TrueHacking's AI Autonomous Pentest simulates these attacks against your infrastructure and brings more security to your application.

Explore the AI Autonomous Pentest →