>
Research (Insikt)

BlueBravo nutzt Ambassador Lure zur Verbreitung der Malware GraphicalNeutrino

Veröffentlicht: 27. Januar 2023
Von: Insikt Group®

insikt-group-logo-aktualisiert-3-300x48.png

Anmerkung der Redaktion: Dies ist ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse mit Endnoten zu lesen, klicken Sie hier , um den Bericht als PDF herunterzuladen.

Executive Summary

BlueBravo ist eine Bedrohungsgruppe, die von der Insikt Group von Recorded Future verfolgt wird und sich mit der russischen Advanced Persistent Threat (APT)-Aktivität überschneidet, die als APT29 und NOBELIUM verfolgt wird. Die Operationen von APT29 und NOBELIUM wurden zuvor dem russischen Auslandsgeheimdienst (SVR) zugeschrieben , einer Organisation, die für Auslandsspionage, aktive Maßnahmen und elektronische Überwachung zuständig ist. Im Oktober 2022 haben wir BlueBravo dabei entdeckt, wie es die GraphicalNeutrino-Malware in einer bösartigen ZIP-Datei inszenierte. Die Bereitstellung und Bereitstellung dieser ZIP-Datei überschneidet sich mit dem zuvor eingesetzten Dropper EnvyScout, dessen Verwendung mit APT29 und NOBELIUM verknüpft ist.

BlueBravo nutzte im Rahmen einer Lockaktion eine kompromittierte Website mit dem Text „Ambassador`s schedule November 2022“. Aufgrund des Themas dieses Köders vermuten wir, dass es sich bei den Zielen dieser Kampagne um Botschaftsmitarbeiter oder einen Botschafter handelt. Dieses Zielprofil steht im Einklang mit früheren Berichten von InQuest von Anfang 2022, in denen die als NOBELIUM gemeldete Gruppe beschrieben wird, die ein Köderdokument mit dem Titel „Ambassador_Absense.docx“ verwendete, das Inhalte im Zusammenhang mit der israelischen Botschaft anzeigte. Nach der Bereitstellung und Ausführung berichtete InQuest, dass die Malware BEATDROP trello[.]com nutzte für Befehls- und Kontrollzwecke (C2), um einer Entdeckung zu entgehen und die Zuordnung der Aktivität zu erschweren.

Ähnlich wie BEATDROP Trello zum Datenaustausch nutzt, haben wir festgestellt, dass GraphicalNeutrino für sein C2 den in den USA ansässigen Geschäftsautomatisierungsdienst Notion verwendet. Die Verwendung des Notion-Dienstes durch BlueBravo ist eine Fortsetzung ihrer früheren Taktiken, Techniken und Verfahren (TTPs), da sie mehrere Online-Dienste wie Trello, Firebase und Dropbox eingesetzt haben, um einer Entdeckung zu entgehen. Der Missbrauch legitimer Dienste, wie sie beispielsweise von BlueBravo eingesetzt werden, stellt für Netzwerkverteidiger ein komplexes Problem dar, da sich böswillige Zugriffe auf legitime Dienste nur schwer verhindern lassen. Der Einsatz dieser Technik wird immer häufiger und wird für Netzwerkverteidiger auch weiterhin ein Problem darstellen.

GraphicalNeutrino fungiert als Loader mit grundlegender C2-Funktionalität und implementiert zahlreiche Anti-Analyse-Techniken, darunter API-Unhooking, dynamisch auflösende APIs, String-Verschlüsselung und Sandbox-Evasion. Es nutzt die API von Notion für C2-Kommunikation und verwendet die Datenbankfunktion von Notion, um Opferinformationen zu speichern und Nutzdaten für den Download bereitzustellen.

Obwohl wir auf Grundlage der uns zur Verfügung stehenden Daten die beabsichtigten Ziele dieser Operation nicht beurteilen können, ist es wahrscheinlich, dass Lockmittel mit Botschafts- oder Botschaftsbezug in Zeiten erhöhter geopolitischer Spannungen, wie dies beispielsweise im anhaltenden Krieg in der Ukraine der Fall ist, besonders wirksam sind. Während solcher Zeiträume ist es sehr wahrscheinlich, dass russische APT-Gruppen in großem Umfang diplomatisch ausgerichtete Köder einsetzen, da die möglicherweise durch die Kompromittierung von Unternehmen oder Personen, die derartige Nachrichten erhalten, gewonnenen Informationen direkte Auswirkungen auf die russische Außenpolitik und umfassendere strategische Entscheidungsprozesse in Russland haben dürften.

Auf Grundlage früherer Cyber- Operationen und aktiver Maßnahmen von APT29 und SVR gehen wir davon aus, dass weitere Länder im Zentrum des Konflikts der Gefahr von Angriffen ausgesetzt sind. Diese gezielten Angriffe deuten mit ziemlicher Sicherheit auf ein anhaltendes Interesse von Bedrohungsakteuren hin, die mit dem SVR in Verbindung stehen, und stehen im Einklang mit ihrer anhaltenden Absicht, Zugang zu strategischen Informationen von Einrichtungen und Organisationen zu erhalten, die in der Außenpolitik tätig sind. Alle Länder, die in die Ukraine-Krise verwickelt sind – insbesondere jene mit wichtigen geopolitischen, wirtschaftlichen oder militärischen Beziehungen zu Russland oder der Ukraine – laufen erhöhte Gefahr, ins Visier genommen zu werden.

Wichtige Urteile

  • Wir haben neue von BlueBravo verwendete Schadsoftware identifiziert, die sich mit der Aktivität russischer APTs unter den Bezeichnungen APT29 und NOBELIUM überschneidet, die westliche Regierungen und Forscher mit dem russischen Auslandsgeheimdienst (SVR) in Verbindung bringen.
  • Die identifizierte Staging-Infrastruktur setzt den Trend fort, kompromittierte Websites zu verwenden, um die BlueBravo-Malware in Archivdateien zu verbreiten. Für die Bereitstellung dieser Dateien wird dieselbe HTML-Schmuggeltechnik verwendet wie für EnvyScout.
  • Die Schadsoftware macht sich für die Ausführung außerdem die Entführung der DLL-Suchreihenfolge zunutze und hilft so, der Erkennung auf dem Host zu entgehen.
  • Ein Wechsel von Trello, Firebase und Dropbox zu Notion als anfänglichem C2 zeigt, dass BlueBravo zwar seine Aktivitäten ausweitet, aber weiterhin legitime westliche Dienste nutzt, um seinen Malware-Verkehr zu vermischen und so einer Erkennung zu entgehen.
  • Obwohl weder Schadsoftware der zweiten Stufe noch nachfolgende C2-Server oder Opfer identifiziert wurden, lässt die ursprüngliche Lockseite darauf schließen, dass BlueBravo es auf unbekannte Botschaftsmitarbeiter oder einen Botschafter abgesehen hatte.
  • Botschaftsbezogene Informationen werden wahrscheinlich als nachrichtendienstliche Informationen von hohem Wert angesehen, insbesondere vor dem Hintergrund des russischen Krieges in der Ukraine.

Hintergrund

Die Zielerfassung, Taktiken, Techniken und Verfahren (TTPs) sowie die Zielinteressen und Operationen von BlueBravo überschneiden sich mit russischen Advanced Persistent Threat-Aktivitäten, die öffentlich als APT29 und NOBELIUM gemeldet und zuvor dem russischen Auslandsgeheimdienst (SVR) zugeschrieben wurden. Der SVR ist zuständig für die Bereiche Auslandsspionage, aktive Maßnahmen und elektronische Überwachung. APT29 ist Berichten Dritter zufolge mindestens seit 2008 aktiv und führt Spionageoperationen gegen Organisationen aus den Bereichen Sicherheit und Verteidigung, Politik und Forschung durch. APT29 wurde zunächst bei der Überwachung tschetschenischer und regimekritischer Organisationen beobachtet, weitete seine Aktivitäten jedoch auf westliche Organisationen aus, so etwa 2015 auf das Pentagon , 2016 auf das Democratic National Committee (DNC) und US-Denkfabriken sowie 2017 auf die norwegische Regierung und mehrere niederländische Ministerien.

Im Jahr 2021 wurde in öffentlichen Berichten detailliert beschrieben, wie BlueBravo verschiedene Iterationen einer Phishing-Kampagne durchführte, die sich als Regierungsstellen ausgab. Die verschiedenen Kampagnen lieferten ISO-Dateien auf verschiedene Arten, beispielsweise durch die Verwendung von URLs zum Herunterladen der ISO-Datei und Ausführen einer LNK-Datei oder durch die Verwendung eines HTML- Anhangs in der E-Mail, um den Download einer ISO-Datei zu initiieren. Diese Aktivität wurde zum Bereitstellen von NativeZone verwendet, einem Überbegriff für ihre benutzerdefinierten Cobalt Strike-Loader. NativeZone verwendet normalerweise rundll32.exe, um nachfolgende Nutzdaten zu laden und auszuführen.

BlueBravo verwendet eine breite Palette maßgeschneiderter Malware und Open-Source-Tools. Ein bemerkenswerter Aspekt sind die sich weiterentwickelnden Malware-Familien und Entwicklungspraktiken mit Implantaten, die in verschiedenen Sprachen entwickelt wurden, darunter Python, Go, PowerShell und Assembly.

Verwandt