Хакеры доставили в Европу начинённую бэкдорами BMW: новая тактика группы APT29

Исследователи угроз из компании Recorded Future сообщают , что группировка BlueBravo заражает дипломатические учреждения Восточной Европы новым бэкдором «GraphicalProton». Активность наблюдалась в период с марта по май 2023 года.

BlueBravo (APT29, Cloaked Ursa, Midnight Blizzard, Nobelium) имеет опыт использования Dropbox, Firebase, Google Drive, Notion и Trello для установления связи сервера управления и контроля (Command and Control, C2 ) с зараженными хостами и уклонения от обнаружения.

Ранее BlueBravo также использовала документы-приманки для доставки загрузчиков вредоносного ПО GraphicalNeutrino (SNOWYAMBER) и QUARTERRIG, а также стейджера CobaltStrike Beacon под названием HALFRIG. В отличие от GraphicalNeutrino, который использовал Notion для установления связи с C2-сервером, GraphicalProton использует Microsoft OneDrive или Dropbox.

Цепочка атаки BlueBravo

GraphicalProton размещается в файлах ISO или ZIP, доставляемые через фишинговые электронные письма с документами-приманками на тему автомобилей. ISO-файл содержит LNK-файл, маскирующийся под PNG-изображение автомобиля BMW, который якобы выставлен на продажу.

Образец документа-приманки о продаже автомобиля

При нажатии на картинку развертывается бэкдор GraphicalProton для последующей эксплуатации. Отмечается, что злоумышленники используют Microsoft OneDrive для связи с C2-сервером и получения дополнительных полезных нагрузок.

В 2020 году APT29 была связана с атакой на SolarWinds , которая была направлена на правительственные организации, корпорации и оборонных подрядчиков в США и других странах. Кампания привела к утечке конфиденциальной информации.