>
Research (Insikt)

BlueBravo passt sich an und nimmt diplomatische Einrichtungen mit der Malware GraphicalProton ins Visier

Veröffentlicht: 27. Juli 2023
Von: Insikt Group

insikt-group-logo-aktualisiert-3-300x48.png

Die Insikt Group von Recorded Future beobachtet die Aktivitäten russischer staatlicher Akteure, die ihre Bemühungen intensivieren, den Command-and-Control-Netzwerkverkehr mithilfe legitimer Internetdienste (LIS) zu verbergen und die Palette der zu diesem Zweck missbrauchten Dienste erweitern. BlueBravo ist eine Bedrohungsgruppe, die von der Insikt Group verfolgt wird und deren Aktionen mit denen der russischen Advanced Persistent Threat (APT)-Gruppen APT29 und Midnight Blizzard übereinstimmen, die beide dem russischen Auslandsgeheimdienst (SVR) zugeschrieben werden.

bluebravo-passt-sich-an-um-diplomatische-Entitäten-mit-grafischem-Proton-Malware-Body-zu-zielen.png (Übersicht über den Angriffsablauf von BlueBravo (Quelle: Recorded Future)

Im Januar 2023 berichtete die Insikt Group über die Verwendung eines themenbezogenen Köders durch BlueBravo zur Verbreitung der Schadsoftware namens GraphicalNeutrino. Sie identifizierten mehrere konsistente Taktiken, die von der Gruppe eingesetzt wurden, darunter kompromittierte Infrastruktur, bekannte Malware-Familien, Dienste von Drittanbietern für Befehls- und Kontrollfunktionen (C2) und wiederverwendete Köderthemen. Eine weitere von BlueBravo verwendete Malware-Variante namens GraphicalProton wurde entdeckt. Im Gegensatz zu GraphicalNeutrino, das Notion für C2 verwendete, nutzt GraphicalProton zur Kommunikation Microsoft OneDrive oder Dropbox.

Der Missbrauch von LIS ist für die Gruppe eine laufende Strategie, da sie verschiedene Onlinedienste wie Trello, Firebase und Dropbox verwendet, um der Entdeckung zu entgehen. BlueBravo scheint seine Cyber-Spionage-Bemühungen vorrangig gegen europäische Regierungsstellen zu richten, möglicherweise aufgrund des Interesses der russischen Regierung an strategischen Daten während und nach dem Krieg in der Ukraine.

Auf Grundlage beobachteter Trends geht die Insikt Group davon aus, dass BlueBravo sich weiterhin anpasst und neue Malware-Varianten erstellt und dabei Dienste von Drittanbietern zur C2-Verschleierung nutzt. Den Menschenrechtsverteidigern wird dringend empfohlen, mehr Zeit und Ressourcen in die Verfolgung dieser sich entwickelnden Gruppe zu investieren, insbesondere in Bezug auf Organisationen, die im Zusammenhang mit dem Russland-Ukraine-Konflikt im Visier russischer staatlicher Akteure stehen.

Es wird erwartet, dass BlueBravo auch weiterhin seine Infrastruktur ausbaut und anfällige Websites kompromittiert, um neue Arten von Schadsoftware zu verbreiten. Dabei zielt es auf diplomatische und außenpolitische Institutionen in Osteuropa ab, da diese Organisationen den russischen Geheimdienstnutzern während des anhaltenden Krieges in der Ukraine wertvolle Erkenntnisse liefern.

Um die gesamte Analyse mit Endnoten zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.

Anhang A – Indikatoren für eine Gefährdung

Mit der BlueBravo-Aktivität verbundene kompromittierte Domänen:
te-as[.]nein
easym6[.]com
remcolours[.]com
simplesalsamix[.]com
sylvio[.]com[.]br
reidao[.]com
mightystake[.]com
sharpledge[.]com
fondoftravel[.]com

Mit BlueBravo-Aktivität verknüpfte URLs:
te-as[.]no/wine[.]php
easym6[.]com/Information.php
reidao[.]com/dashboard.php
resetlocations[.]com/bmw.htm
simplesalsamix[.]com/e-yazi.html
sylvio.com[.]br/form.php
mightystake[.]com/sponsorship.php
sharpledge[.]com/login.php
fondoftravel[.]com/contact.php

Dateien:
9da5339a5a7519b8b639418ea34c9a95f11892732036278b14dbbf4810fec7a3
AppvIsvSubsystems64.dll6c55195f025fb895f9d0ec3edbf58bc0aa46c43eeb246cfb88eef1ae051171b3 Note.exe
22b037f0a42579b45530bed196dd2b47fd4d4dffb8daa2738581287932794954 Note.iso
ed5c3800cf9eb3d76e5bab079c7f8f3e0748935f0696ce0898f8bd421c3c306f Bdcmetadataresource.xsd
b84d6a12bb1756b69791e725b0e3d7a962888b31a8188de225805717c299c086 Hinweis.iso
aff3d7f9ebfdbe69c65b8441a911b539b344f2708e5cef498f10e13290e90c91 AppvIsvSubsystems64.dll
9f2b400439e610577a6bbc1f83849c6108689d99a9fe7bdd1c74e4dfffadde14 Bdcmetadataresource.xsd
c71ec48a59631bfa3f33383c1f25719e95e5a80936d913ab3bfe2feb172c1c5e Note.zip
385973e7777081c81cfe236fcc8b3ebf5e4ae04f16030d525535f6cfe38cae7b AppvIsvSubsystems64.dll
becbd20a19bab555b92d471b30b8159dfa709e9bc417e5d42d72c94546d9e61c Schema.inf
79a1402bc77aa2702dc5dca660ca0d1bf08a2923e0a1018da70e7d7c31d9417f bmw.iso
640a08b52623cd8702de066f1f9a6923b18283fc2656137cd9c584da1e07775c bmw1.png.lnk
6f37579d445639c7dfebb4927fe7f6ea70d25d1127f9d9b5078f8ccd4da36127 bmw2.png.lnk
0e22e6a1dc529008d62287cfddaed53c7f4cc698feec144f00c92594dc76d036 bmw3.png.lnk
02ce47bd766f7489c6326c30351eb9b365f9997de1b2f92924d130fa07e0d82c bmw4.png.lnk
c5209127e65b0465c8a707ca127b067aa8756c1138bd0d3636f71bfbe8fd9bda bmw5.png.lnk
e22bc75bb87e19554cd0f98c98b22a07368c2b23adacc41fe2cd68c20957d60a bmw6.png.lnk
2589700d01c8a60a4f2d8188e31712821c7085a4715785e2871ac517c81477e3 bmw7.png.lnk
62a903a4b5cd27d739950e71ab74061e815af4830a29df6dcbf8c1a34abc87cb bmw8.png.lnk
3a76182529c4fd5276091ed8ff4c4dcc89e4abc5981348a066c4eb34a9956947 bmw9.png.lnk
38f8b8036ed2a0b5abb8fbf264ee6fd2b82dcd917f60d9f1d8f18d07c26b1534 $Recycle.Bin/AppvIsvSubsystems64.dll
706112ab72c5d770d89736012d48a78e1f7c643977874396c30908fa36f2fed7 $Recycle.Bin/MSVCP140.dll
e3abb477f3230c94bfc97ec8f7cee8d4ad4a1fba16cda1f318cfa12780fd33f7 $Recycle.Bin/Mso20Win32Client.DLL
d0a3632404c5b4b224269ecedfbcdf2e02d7023a6ede4232c7e700d538504dfd $Recycle.Bin/bmw1.png
74723846c3e469e1652469d7adfefd8ee85d3fc2f44a4ddd6f852e12f728bb81 $Recycle.Bin/bmw2.png
7a7c86547c9e1ba6faafa1c673a0ff429104448a006918ff20910bd0a734ddd4 $Recycle.Bin/bmw3.png
400d8b83164de0bc4b9457fb1460b79c98d720bc5494727f9ab574173023d1e4 $Recycle.Bin/bmw4.png
6a97a31c1bce2993e624debcc30de4ac0240ffee66cb059ac6c85aba6a8ce688 $Recycle.Bin/bmw5.png
457988aca929192c46ca5440708a6c239a2c40596caf795afcc3d00661cdc86d $Recycle.Bin/bmw6.png
647d07167fe437adeb8af2e65b5560f2520a712bfbab43fbadd10b274d8045a3 $Recycle.Bin/bmw7.png
d60b160b891e5ce6a52f6fe1ff49cf07510af80fce6db61aee46b3d5b830605f $Recycle.Bin/bmw8.png
1dd713c4760e2157d2eefb27809c0cd2a46f6042c92f1705514ea01b74cdb1cb $Recycle.Bin/bmw9.png
c62199ef9c2736d15255f5deaa663158a7bb3615ba9262eb67e3f4adada14111 $Recycle.Bin/ojg2.px
6c55195f025fb895f9d0ec3edbf58bc0aa46c43eeb246cfb88eef1ae051171b3 $Recycle.Bin/windoc.exe
8902bd7d085397745e05883f05c08de87623cc15fe630b36ad3d208f01ef0596 a.docx
311e9c8cf6d0b295074ffefaa9f277cb1f806343be262c59f88fbdf6fe242517 BMW 5 zu verkaufen in Kiew - 2023.docx
0dd55a234be8e3e07b0eb19f47abe594295889564ce6a9f6e8cc4d3997018839 e-yazi.zip
60d96d8d3a09f822ded0a3c84194a5d88ed62a979cbb6378545b45b04353bb37 AppvIsvSubsystems64.dll
e3abb477f3230c94bfc97ec8f7cee8d4ad4a1fba16cda1f318cfa12780fd33f7 Mso20Win32Client.DLL
6c55195f025fb895f9d0ec3edbf58bc0aa46c43eeb246cfb88eef1ae051171b3 e-yazi.docx .exe
7a9d27006887464220c456cc1cdbcf7766bc8fd760114b79b04a7e3fef73b33a e-yazi.pdf
03959c22265d0b85f6c94ee15ad878bb4f2956a2b0047733edbd8fdc86defc48 okxi4t.z
b422ba73f389ae5ef9411cf4484c840c7c82f2731c6324db0b24b6f87ce8477d Information.zip
e7c49758bae63c83d251cacbfada7c09af0c3038e8ff755c4c04f916385805d8 AppvIsvSubsystems64.dll
6c55195f025fb895f9d0ec3edbf58bc0aa46c43eeb246cfb88eef1ae051171b3 Informationen .exe
5f6219ade8e0577545b9f13afd28f6d6e991326f3c427d671d1c1765164b0d57 dbg.info


Anhang B – Mitre ATT&CK-Techniken

Taktik: Technik ATT&CK-Code
Ressourcenentwicklung: Kompromissinfrastruktur T1584
Ausführung: Benutzerausführung: Schädliche Datei T1204.002
Persistenz: Booten oder Anmelden Autostart-Ausführung: Registry-Ausführungsschlüssel / Startordner T1547.001
Umgehung der Verteidigung: Verschleierte Dateien oder Informationen: HTML-Schmuggel T1027.006
Umgehung der Verteidigung: Verschleierte Dateien oder Informationen: Dynamische API-Auflösung T1027.007
Umgehung der Verteidigung: Maskierung: Übersteuerung von rechts nach links T1036.002
Umgehung der Verteidigung: Maskierung: Übereinstimmung mit legitimem Namen oder Standort T1036.005
Umgehung der Verteidigung: Dateien oder Informationen entschlüsseln/dekodieren T1140
Umgehung der Verteidigung: Hijack-Ausführungsfluss: Hijacking der DLL-Suchreihenfolge T1574.001
Umgehung der Verteidigung: Hijack-Ausführungsfluss: DLL-Side-Loading T1574.002
Umgehung der Verteidigung: Verteidigung beeinträchtigen: Werkzeuge deaktivieren oder ändern T1562.001
Erkennung: Erkennung des Systembesitzers/-benutzers T1033
Erkennung: Erkennung von Systeminformationen T1082
Befehl und Steuerung: Anwendungsschichtprotokoll: Webprotokolle T1071.001
Befehl und Kontrolle: Webdienst: Bidirektionale Kommunikation T1102.002
Befehl und Kontrolle: Ingress-Tool-Übertragung T1105

Verwandt