与俄罗斯有联系的BlueBravo被发现通过GraphicalProton后门瞄准东欧的外交实体。据观察,该组织正在进行鱼叉式网络钓鱼活动,最终目标是用一个名为GraphicalProton的新后门感染收件人。
该活动是在2023年3月至5月期间观察到的,黑客利用合法互联网服务(LIS)进行指挥控制,扩大了滥用的服务范围。
早在2023年1月,Insikt的研究人员就观察到BlueBravo使用一种名为GraphicalNeutrino的主题诱饵来传递恶意软件。GraphicalProton是该组织武器库中的另一个恶意软件,与GraphicalNeutrino不同的是,它使用微软的OneDrive或Dropbox进行C2通信。
Recorded Future表示:“该组织滥用LIS是一种持续的策略,因为他们使用了Trello、Firebase和Dropbox等各种在线服务来逃避检测。BlueBravo似乎优先进行针对欧洲政府部门的网络间谍活动,这可能是因为俄罗斯政府在乌克兰战争期间对战略数据感兴趣。”
GraphicalNeutrino和GraphicalProton都被用作加载程序,后者被放置在钓鱼电子邮件传递的ISO或ZIP文件中。 2023年5月,Insikt Group首次为客户端描述了GraphicalProton恶意软件。Graphical质子充当加载程序,与之前描述的GraphicalNeutrino样本非常相似,它在ISO或ZIP文件中暂存,并依赖于新识别的受损域来传递到目标主机。与之前使用Notion进行C2的GraphicalNeutrino的一些分析样本不同,观察到 新确定的GraphiicalProton样本使用了Microsoft OneDrive。 攻击中使用的ISO文件包含LNK文件,这些文件伪装成要出售的宝马汽车的PNG图像。单击该文件后,它将启动GraphicalProton感染链。黑客将Microsoft OneDrive用作C2,并定期轮询存储服务中的文件夹以获取额外的有效载荷。 报告总结道:“随着乌克兰战争的持续,几乎可以肯定的是,在可预见的未来,BlueBravo将继续以政府和外交机构为高价值目标。BlueBravo以及依赖BlueBravo提供数据的俄罗斯情报消费者,很可能认为这些机构为与乌克兰结盟的政府的决策过程提供了战略洞察力。”
