- 13,853
- 20
- 8 Ноя 2022
Киберпреступники решили не ограничиваться в инструментах и увеличивают своё портфолио.
Исследователи угроз из компании Recorded Future Для просмотра ссылки Войдиили Зарегистрируйся , что группировка BlueBravo заражает дипломатические учреждения Восточной Европы новым бэкдором «GraphicalProton». Активность наблюдалась в период с марта по май 2023 года.
BlueBravo (APT29, Cloaked Ursa, Midnight Blizzard, Nobelium) имеет опыт использования Dropbox, Firebase, Google Drive, Notion и Trello для установления связи сервера управления и контроля (Command and Control, C2 ) с зараженными хостами и уклонения от обнаружения.
Ранее BlueBravo также Для просмотра ссылки Войдиили Зарегистрируйся для доставки загрузчиков вредоносного ПО GraphicalNeutrino (SNOWYAMBER) и QUARTERRIG, а также стейджера CobaltStrike Beacon под названием HALFRIG. В отличие от GraphicalNeutrino, который использовал Notion для установления связи с C2-сервером, GraphicalProton использует Microsoft OneDrive или Dropbox.
Цепочка атаки BlueBravo
GraphicalProton размещается в файлах ISO или ZIP, доставляемые через фишинговые электронные письма с документами-приманками на тему автомобилей. ISO-файл содержит LNK-файл, маскирующийся под PNG-изображение автомобиля BMW, который якобы выставлен на продажу.
Образец документа-приманки о продаже автомобиля
При нажатии на картинку развертывается бэкдор GraphicalProton для последующей эксплуатации. Отмечается, что злоумышленники используют Microsoft OneDrive для связи с C2-сервером и получения дополнительных полезных нагрузок.
В 2020 году APT29 была связана Для просмотра ссылки Войдиили Зарегистрируйся , которая была направлена на правительственные организации, корпорации и оборонных подрядчиков в США и других странах. Кампания привела к утечке конфиденциальной информации.
Исследователи угроз из компании Recorded Future Для просмотра ссылки Войди
BlueBravo (APT29, Cloaked Ursa, Midnight Blizzard, Nobelium) имеет опыт использования Dropbox, Firebase, Google Drive, Notion и Trello для установления связи сервера управления и контроля (Command and Control, C2 ) с зараженными хостами и уклонения от обнаружения.
Ранее BlueBravo также Для просмотра ссылки Войди
Цепочка атаки BlueBravo
GraphicalProton размещается в файлах ISO или ZIP, доставляемые через фишинговые электронные письма с документами-приманками на тему автомобилей. ISO-файл содержит LNK-файл, маскирующийся под PNG-изображение автомобиля BMW, который якобы выставлен на продажу.
Образец документа-приманки о продаже автомобиля
При нажатии на картинку развертывается бэкдор GraphicalProton для последующей эксплуатации. Отмечается, что злоумышленники используют Microsoft OneDrive для связи с C2-сервером и получения дополнительных полезных нагрузок.
В 2020 году APT29 была связана Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
