Исследователи угроз из компании Recorded Future сообщают , что группировка BlueBravo заражает дипломатические учреждения Восточной Европы новым бэкдором “GraphicalProton”. Активность наблюдалась в период с марта по май 2023 года.
BlueBravo (APT29, Cloaked Ursa, Midnight Blizzard, Nobelium) имеет опыт использования Dropbox, Firebase, Google Drive, Notion и Trello для установления связи сервера управления и контроля (Command and Control, ” data-html=”true” data-original-title=”C2″ >C2) с зараженными хостами и уклонения от обнаружения.
Ранее BlueBravo также использовала документы-приманки для доставки загрузчиков вредоносного ПО GraphicalNeutrino (SNOWYAMBER) и QUARTERRIG, а также стейджера CobaltStrike Beacon под названием HALFRIG. В отличие от GraphicalNeutrino, который использовал Notion для установления связи с C2-сервером, GraphicalProton использует Microsoft OneDrive или Dropbox.
Цепочка атаки BlueBravo
GraphicalProton размещается в файлах ISO или ZIP, доставляемые через фишинговые электронные письма с документами-приманками на тему автомобилей. ISO-файл содержит LNK-файл, маскирующийся под PNG-изображение автомобиля BMW, который якобы выставлен на продажу.
Образец документа-приманки о продаже автомобиля
При нажатии на картинку развертывается бэкдор GraphicalProton для последующей эксплуатации. Отмечается, что злоумышленники используют Microsoft OneDrive для связи с C2-сервером и получения дополнительных полезных нагрузок.
В 2020 году APT29 была связана с атакой на SolarWinds , которая была направлена на правительственные организации, корпорации и оборонных подрядчиков в США и других странах. Кампания привела к утечке конфиденциальной информации.