L’acteur de l’État-nation russe connu sous le nom de BleuBravo a été observé ciblant des entités diplomatiques dans toute l’Europe de l’Est dans le but de fournir une nouvelle porte dérobée appelée GraphicalProton, illustrant l’évolution continue de la menace.
La campagne de phishing se caractérise par l’utilisation de services Internet légitimes (LIS) pour l’obfuscation de commande et de contrôle (C2), a déclaré Recorded Future dans un nouveau rapport publié jeudi. L’activité a été observée entre mars et mai 2023.
BlueBravo, également connu sous les noms APT29, Cloaked Ursa et Midnight Blizzard (anciennement Nobelium), est attribué au service russe de renseignement extérieur (SVR) et a par le passé utilisé Dropbox, Firebase, Google Drive, Notion et Trello pour échapper détecter et établir furtivement des communications avec les hôtes infectés.
À cette fin, GraphicalProton est le dernier ajout à une longue liste de logiciels malveillants ciblant les organisations diplomatiques après GraphicalNeutrino (alias SNOWYAMBER), HALFRIG et QUARTERRIG.
« Contrairement à GraphicalNeutrino, qui utilisait Notion pour C2, GraphicalProton utilise OneDrive ou Dropbox de Microsoft pour la communication », a déclaré la société de cybersécurité.
Cela marque une tentative de la part des opérateurs BlueBravo non seulement de diversifier leurs outils, mais également d’élargir le portefeuille de services détournés pour cibler des organisations d’intérêt stratégique pour la nation.
« BlueBravo semble donner la priorité aux efforts de cyberespionnage contre les entités du secteur gouvernemental européen, peut-être en raison de l’intérêt du gouvernement russe pour les données stratégiques pendant et après la guerre en Ukraine. »
La nouvelle souche de logiciels malveillants, comme GraphicalNeutrino, fonctionne comme un chargeur et est mise en scène dans un fichier ISO ou ZIP envoyé via un e-mail de phishing portant des leurres sur le thème des véhicules, chevauchant un ensemble d’intrusions signalé par l’unité 42 de Palo Alto Networks plus tôt ce mois-ci.
Les fichiers ISO contiennent des fichiers .LNK qui se font passer pour des images .PNG d’une voiture BMW prétendument à vendre, ce qui, une fois cliqué, conduit au déploiement de GraphicalProton pour une exploitation ultérieure. Ceci est réalisé en utilisant Microsoft OneDrive en tant que C2 et en interrogeant périodiquement un dossier dans le service de stockage pour récupérer des charges utiles supplémentaires.
« Il est impératif que les défenseurs des réseaux soient conscients de la possibilité d’une utilisation abusive de ces services au sein de leur entreprise et reconnaissent les cas dans lesquels ils peuvent être utilisés dans des efforts similaires pour exfiltrer des informations », ont déclaré les chercheurs.
Le développement intervient alors que l’équipe d’intervention d’urgence informatique d’Ukraine (CERT-UA) a mis en garde contre les attaques de phishing en cours menées par un groupe appelé UAC-0006, qui, selon l’agence, intensifie ses efforts pour inciter les utilisateurs à installer une porte dérobée connue sous le nom de SmokeLoader.
