O ator do Estado-nação russo conhecido como BlueBravo foi observado visando entidades diplomáticas em toda a Europa Oriental com o objetivo de entregar um novo backdoor chamado GraphicalProton, exemplificando a contínua evolução da ameaça.
A campanha de phishing é caracterizada pelo uso de serviços de internet legítimos (LIS) para ofuscação de comando e controle (C2), disse a Recorded Future em um novo relatório publicado na quinta-feira.
A atividade foi observada entre março e maio de 2023.
BlueBravo, também conhecido pelos nomes APT29, Cloaked Ursa e Midnight Blizzard (anteriormente Nobelium), é atribuído ao Serviço de Inteligência Estrangeira da Rússia (SVR), e no passado usou Dropbox, Firebase, Google Drive, Notion e Trello para evitar detecção e estabelecer comunicações stealthily com hospedeiros infectados.
Nesse sentido, GraphicalProton é a última adição a uma longa lista de malwares que visam organizações diplomáticas após GraphicalNeutrino (também conhecido como SNOWYAMBER), HALFRIG e QUARTERRIG.
"Ao contrário de GraphicalNeutrino, que usava Notion para C2, GraphicalProton usa OneDrive da Microsoft ou Dropbox para comunicação", disse a empresa de segurança cibernética.
Isso marca uma tentativa por parte dos operadores BlueBravo de não apenas diversificar suas ferramentas, mas também expandir o portfólio de serviços que são usados indevidamente para mirar organizações de interesse estratégico para a nação.
"BlueBravo parece priorizar esforços de espionagem cibernética contra entidades do setor governamental europeu, possivelmente devido ao interesse do governo russo em dados estratégicos durante e após a guerra na Ucrânia".
A nova cepa de malware, como o GraphicalNeutrino, funciona como um carregador e é encenada dentro de um arquivo ISO ou ZIP entregue via email de phishing com iscas temáticas de veículos, coincidindo com um conjunto de intrusões relatado pelo Palo Alto Networks Unit 42 no início deste mês.
O arquivo ISO contém arquivos .LNK que se disfarçam de imagens .PNG de um carro BMW que supostamente está à venda, que, quando clicadas, levam ao lançamento do GraphicalProton para exploração posterior.
Isso é alcançado usando o Microsoft OneDrive como C2 e consultando periodicamente uma pasta no serviço de armazenamento para buscar payloads adicionais.
"É imperativo para os defensores de redes estarem cientes da possibilidade de uso incorreto desses serviços em sua empresa e reconhecer casos em que eles podem ser usados em esforços semelhantes para exfiltrar informações", disseram os pesquisadores.
O desenvolvimento ocorre à medida que a Equipe de Resposta a Emergências de Computadores da Ucrânia (CERT-UA) alertou sobre ataques de phishing em andamento realizados por um grupo chamado grupo UAC-0006, que a agência disse que está intensificando os esforços para atrair usuários para instalar um backdoor conhecido como SmokeLoader.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...