- Gần đây, nhóm tấn công APT BlueBravo đã bị phát hiện khi tấn công nhằm vào các tổ chức ngoại giao tại Đông Âu. Mục tiêu của nhóm này là triển khai một backdoor mới mang tên GraphicalProton.
Các hoạt động của BlueBravo đã được quan sát từ tháng 3 đến tháng 5 năm 2023, điểm nổi bật trong chiến dịch tấn công của BlueBravo là việc sử dụng các dịch vụ Internet hợp pháp (LIS) để che giấu các máy chủ C&C.
Nhóm tấn công BlueBravo, còn được gọi là APT29, Cloaked Ursa và Midnight Blizzard (tên cũ Nobelium), là một nhóm tấn công có liên quan đến Cơ quan Tình báo Nước ngoài của Nga (SVR). Trước đây, nhóm này đã sử dụng nhiều dịch vụ như Dropbox, Firebase, Google Drive, Notion và Trello để che giấu việc kết nối với các máy tính bị nhiễm mã độc.
Ảnh minh họa. Nguồn: Internet |
Hành vi này cho thấy tính đa dạng và sự tiến hóa liên tục trong cách thức thực hiện các cuộc tấn công của họ. Việc nhằm vào các tổ chức trong lĩnh vực ngoại giao đánh dấu sự nỗ lực của BlueBravo trong việc đa dạng hóa công cụ và mở rộng danh mục dịch vụ bị tấn công.
Đánh giá kỹ thuật cho thấy GraphicalProton hoạt động như một "loader" - một loại mã độc phụ thuộc vào một "payload" khác để thực hiện các tác vụ khai thác tiếp theo. Nó được ẩn trong một file ISO hoặc ZIP và phát tán thông qua email lừa đảo có nội dung về các phương tiện giao thông.
Trong file ISO chứa các file .LNK được ngụy trang thành ảnh dạng .PNG của một chiếc xe BMW đang được rao bán. Khi người dùng bấm vào ảnh, GraphicalProton sẽ tự động triển khai để tiến hành các bước khai thác tiếp theo. Điều này được thực hiện bằng cách sử dụng Microsoft OneDrive làm máy chủ C&C và định kỳ chọn một thư mục trong dịch vụ lưu trữ này để tải thêm các payload bổ trợ.
Có lẽ một trong những mục tiêu chiến lược trong chiến dịch tấn công của BlueBravo có liên quan đến sự quan tâm của chính phủ Nga đối với dữ liệu trong cuộc chiến tại Ukraine. Trước tình hình địa chính trị phức tạp tại châu Âu và xung đột ở Ukraine, BlueBravo có thể sẽ tiếp tục tấn công vào các cơ quan ngoại giao cùng các mục tiêu quan trọng khác. Do đó, các tổ chức cần tăng cường bảo mật và nâng cao nhận thức an toàn thông tin để bảo đảm an toàn hệ thống thông tin một cách tốt nhất.
PV