Ruski haker nacionalne države poznat kao BlueBravo je primijećen kako cilja na diplomatske subjekte širom istočne Evrope s ciljem da isporuči nova pozadinska vrata pod nazivom GraphicalProton, što predstavlja primjer kontinuirane evolucije prijetnje.
Kampanju krađe identiteta karakteriše korištenje legitimnih internet usluga (LIS) za prikrivanje komande i kontrole (C2), navodi Recorded Future u novom izvještaju objavljenom u četvrtak. Aktivnost je primećena između marta i maja 2023. godine.
BlueBravo, takođe poznat pod imenima APT29, Cloaked Ursa i Midnight Blizzard (bivši Nobelium), pripisuje se Ruskoj vanjskoj obavještajnoj službi (SVR), a u prošlosti je koristio Dropbox, Firebase, Google Drive, Notion i Trello da izbjegne otkrivanje i potajno uspostavljanje komunikacije sa zaraženim domaćinima.
U tom cilju, GraphicalProton je najnoviji dodatak dugačkoj listi malicioznog softvera koji cilja diplomatske organizacije nakon GraphicalNeutrina (aka SNOWYAMBER), HALFRIG-a i QUARTERRIG-a.
“Za razliku od GraphicalNeutrino, koji je koristio Notion za C2, GraphicalProton koristi Microsoftov OneDrive ili Dropbox za komunikaciju”, rekla je firma za kibernetičku sigurnost .
Ovo označava pokušaj BlueBravo operatera da ne samo diverzifikuju svoje alate već i prošire asortiman usluga koje se zloupotrebljavaju za ciljanje organizacija koje su od strateškog interesa za naciju.
“Čini se da BlueBravo daje prioritet naporima kibernetičke špijunaže protiv entiteta evropskog državnog sektora, vjerovatno zbog interesa ruske vlade za strateške podatke tokom i nakon rata u Ukrajini.”
Nova vrsta maliciozog softvera, kao što je GraphicalNeutrino, funkcioniše kao učitavač i postavljen je unutar ISO ili ZIP fajla koji se isporučuje putem phishing e-pošte koja sadrži mamce na temu vozila, preklapajući se sa skupom za upad koji je prijavio Palo Alto Networks Unit 42 ranije ovog mjeseca.
ISO datoteke sadrže .LNK datoteke koje se maskiraju kao .PNG slike BMW automobila koji je navodno na prodaju, što, kada se klikne, dovodi do implementacije GraphicalProtona za daljnju eksploataciju. Ovo se postiže korišćenjem Microsoft OneDrive-a kao C2 i periodičnim prozivanjem fascikle u servisu za skladištenje da bi se dohvatila dodatna korisna opterećenja.
“Imperativ je da zaštitnici mreže budu svjesni mogućnosti zloupotrebe ovih usluga unutar svog poduzeća i da prepoznaju slučajeve u kojima se one mogu koristiti u sličnim naporima eksfiltriranja informacija”, rekli su istraživači.
Razvoj događaja dolazi nakon što je ukrajinski tim za kompjuterske hitne slučajeve (CERT-UA) upozorio na tekuće phishing napade koje preduzima grupa pod nazivom UAC-0006 grupa, za koju agencija kaže da intenzivira napore da privuče korisnike da instaliraju backdoor poznat kao SmokeLoader.
Izvor: The Hacer News
