Insiktレポート

BlueBravoが外交機関を標的とするグラフィカルプロトンマルウェアに適応

投稿: 2023年7月27日
作成者 : Insikt Group

insikt-group-logo-updated-3-300x48.png

Recorded FutureのInsikt Groupは、正規のインターネットサービス(LIS)を使用してコマンドアンドコントロールネットワークトラフィックを隠す取り組みを強化し、この目的のために悪用されるサービスの範囲を拡大しているロシアの国家主体の活動を監視してきました。 BlueBravoはInsikt Groupが追跡している脅威グループで、その行動はロシアのAPT29やMidnight Blizzard(いずれもロシア対外情報局(SVR)のものとされるAPT29やMidnight Blizzardの行動と一致しています。

bluebravo-adapts-to-target-diplomatic-entities-with-graphicalproton-malware-body.png (BlueBravoの攻撃フローの概要(出典:Recorded Future)

2023 年 1 月、Insikt Group は、BlueBravo が GraphicalNeutrino と呼ばれるマルウェアを配信するためにテーマ別のルアーを使用していることを報告しました。 彼らは、侵害されたインフラストラクチャ、既知のマルウェアファミリ、コマンドアンドコントロール(C2)用のサードパーティサービス、ルアーテーマの再利用など、グループが採用しているいくつかの一貫した戦術を特定しました。 BlueBravoが使用する別のマルウェアの亜種であるGraphicalProtonが発見されました。 C2にNotionを使用したGraphicalNeutrinoとは異なり、GraphicalProtonは通信にMicrosoftのOneDriveまたはDropboxを使用します。

このグループは、Trello、Firebase、Dropboxなどのさまざまなオンラインサービスを使用して検出を回避しているため、LISの悪用は継続的な戦略です。 BlueBravoは、ウクライナでの戦争中および戦争後の戦略データに対するロシア政府の関心により、ヨーロッパの政府機関に対するサイバースパイ活動を優先しているようです。

Insikt Groupは、観察された傾向に基づいて、BlueBravoがC2難読化にサードパーティのサービスを活用しながら、新しいマルウェアの亜種を適応させ、作成し続けると予測しています。 擁護者は、進化するグループ、特にロシアとウクライナの紛争に関連してロシアの国家主体によって標的にされた組織を追跡するために、追加の時間とリソースを投資するよう求められています。

BlueBravoは、ウクライナで進行中の戦争中にロシアの諜報機関の消費者に貴重な洞察を提供するため、東ヨーロッパの外交および外交政策機関を標的とした新しい種類のマルウェアを展開するために、インフラストラクチャの開発と脆弱なWebサイトの侵害を継続することが期待されています。

文末脚注付きの分析全体を読むには、 ここをクリックして レポートをPDFとしてダウンロードしてください。

付録A — 侵害を示す指標

BlueBravoの活動に関連する侵害されたドメイン:
te-as[.]no
easym6[.]com
remcolours[.]com
simplesalsamix[.]com
sylvio[.]com[.]br
reidao[.]com
mightystake[.]com
sharpledge[.]com
fondoftravel[.]com

URLs Associated with BlueBravo Activity:
te-as[.]no/wine[.]php
easym6[.]com/Information.php
reidao[.]com/dashboard.php
resetlocations[.]com/bmw.htm
simplesalsamix[.]com/e-yazi.html
sylvio.com[.]br/form.php
mightystake[.]com/sponsorship.php
sharpledge[.]com/login.php
fondoftravel[.]com/contact.php

Files:
9da5339a5a7519b8b639418ea34c9a95f11892732036278b14dbbf4810fec7a3
AppvIsvSubsystems64.dll6c55195f025fb895f9d0ec3edbf58bc0aa46c43eeb246cfb88eef1ae051171b3 Note.exe
22b037f0a42579b45530bed196dd2b47fd4d4dffb8daa2738581287932794954 Note.iso
ed5c3800cf9eb3d76e5bab079c7f8f3e0748935f0696ce0898f8bd421c3c306f Bdcmetadataresource.xsd
b84d6a12bb1756b69791e725b0e3d7a962888b31a8188de225805717c299c086 Note.iso
aff3d7f9ebfdbe69c65b8441a911b539b344f2708e5cef498f10e13290e90c91 AppvIsvSubsystems64.dll
9f2b400439e610577a6bbc1f83849c6108689d99a9fe7bdd1c74e4dfffadde14 Bdcmetadataresource.xsd
c71ec48a59631bfa3f33383c1f25719e95e5a80936d913ab3bfe2feb172c1c5e Note.zip
385973e7777081c81cfe236fcc8b3ebf5e4ae04f16030d525535f6cfe38cae7b AppvIsvSubsystems64.dll
becbd20a19bab555b92d471b30b8159dfa709e9bc417e5d42d72c94546d9e61c Schema.inf
79a1402bc77aa2702dc5dca660ca0d1bf08a2923e0a1018da70e7d7c31d9417f bmw.iso
640a08b52623cd8702de066f1f9a6923b18283fc2656137cd9c584da1e07775c bmw1.png.lnk
6f37579d445639c7dfebb4927fe7f6ea70d25d1127f9d9b5078f8ccd4da36127 bmw2.png.lnk
0e22e6a1dc529008d62287cfddaed53c7f4cc698feec144f00c92594dc76d036 bmw3.png.lnk
02ce47bd766f7489c6326c30351eb9b365f9997de1b2f92924d130fa07e0d82c bmw4.png.lnk
c5209127e65b0465c8a707ca127b067aa8756c1138bd0d3636f71bfbe8fd9bda bmw5.png.lnk
e22bc75bb87e19554cd0f98c98b22a07368c2b23adacc41fe2cd68c20957d60a bmw6.png.lnk
2589700d01c8a60a4f2d8188e31712821c7085a4715785e2871ac517c81477e3 bmw7.png.lnk
62a903a4b5cd27d739950e71ab74061e815af4830a29df6dcbf8c1a34abc87cb bmw8.png.lnk
3a76182529c4fd5276091ed8ff4c4dcc89e4abc5981348a066c4eb34a9956947 bmw9.png.lnk
38f8b8036ed2a0b5abb8fbf264ee6fd2b82dcd917f60d9f1d8f18d07c26b1534 $Recycle.Bin/AppvIsvSubsystems64.dll
706112ab72c5d770d89736012d48a78e1f7c643977874396c30908fa36f2fed7 $Recycle.Bin/MSVCP140.dll
e3abb477f3230c94bfc97ec8f7cee8d4ad4a1fba16cda1f318cfa12780fd33f7 $Recycle.Bin/Mso20Win32Client.DLL
d0a3632404c5b4b224269ecedfbcdf2e02d7023a6ede4232c7e700d538504dfd $Recycle.Bin/bmw1.png
74723846c3e469e1652469d7adfefd8ee85d3fc2f44a4ddd6f852e12f728bb81 $Recycle.Bin/bmw2.png
7a7c86547c9e1ba6faafa1c673a0ff429104448a006918ff20910bd0a734ddd4 $Recycle.Bin/bmw3.png
400d8b83164de0bc4b9457fb1460b79c98d720bc5494727f9ab574173023d1e4 $Recycle.Bin/bmw4.png
6a97a31c1bce2993e624debcc30de4ac0240ffee66cb059ac6c85aba6a8ce688 $Recycle.Bin/bmw5.png
457988aca929192c46ca5440708a6c239a2c40596caf795afcc3d00661cdc86d $Recycle.Bin/bmw6.png
647d07167fe437adeb8af2e65b5560f2520a712bfbab43fbadd10b274d8045a3 $Recycle.Bin/bmw7.png
d60b160b891e5ce6a52f6fe1ff49cf07510af80fce6db61aee46b3d5b830605f $Recycle.Bin/bmw8.png
1dd713c4760e2157d2eefb27809c0cd2a46f6042c92f1705514ea01b74cdb1cb $Recycle.Bin/bmw9.png
c62199ef9c2736d15255f5deaa663158a7bb3615ba9262eb67e3f4adada14111 $Recycle.Bin/ojg2.px
6c55195f025fb895f9d0ec3edbf58bc0aa46c43eeb246cfb88eef1ae051171b3 $Recycle.Bin/windoc.exe
8902bd7d085397745e05883f05c08de87623cc15fe630b36ad3d208f01ef0596 a.docx
311e9c8cf6d0b295074ffefaa9f277cb1f806343be262c59f88fbdf6fe242517 BMW 5 for sale in Kyiv - 2023.docx
0dd55a234be8e3e07b0eb19f47abe594295889564ce6a9f6e8cc4d3997018839 e-yazi.zip
60d96d8d3a09f822ded0a3c84194a5d88ed62a979cbb6378545b45b04353bb37 AppvIsvSubsystems64.dll
e3abb477f3230c94bfc97ec8f7cee8d4ad4a1fba16cda1f318cfa12780fd33f7 Mso20Win32Client.DLL
6c55195f025fb895f9d0ec3edbf58bc0aa46c43eeb246cfb88eef1ae051171b3 e-yazi.docx .exe
7a9d27006887464220c456cc1cdbcf7766bc8fd760114b79b04a7e3fef73b33a e-yazi.pdf
03959c22265d0b85f6c94ee15ad878bb4f2956a2b0047733edbd8fdc86defc48 okxi4t.z
b422ba73f389ae5ef9411cf4484c840c7c82f2731c6324db0b24b6f87ce8477d Information.zip
e7c49758bae63c83d251cacbfada7c09af0c3038e8ff755c4c04f916385805d8 AppvIsvSubsystems64.dll
6c55195f025fb895f9d0ec3edbf58bc0aa46c43eeb246cfb88eef1ae051171b3 Information .exe
5f6219ade8e0577545b9f13afd28f6d6e991326f3c427d671d1c1765164b0d57 dbg.info


付録B — MITRE ATT&CK手法

戦術:手法 ATT&CKコード
Resource Development: Compromise Infrastructure T1584
Execution: User Execution: Malicious File T1204.002
Persistence: Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder T1547.001
Defense Evasion: Obfuscated Files or Information: HTML Smuggling T1027.006
Defense Evasion: Obfuscated Files or Information: Dynamic API Resolution T1027.007
Defense Evasion: Masquerading: Right-to-Left Override T1036.002
Defense Evasion: Masquerading: Match Legitimate Name or Location T1036.005
Defense Evasion: Deobfuscate/Decode Files or Information T1140
Defense Evasion: Hijack Execution Flow: DLL Search Order Hijacking T1574.001
Defense Evasion: Hijack Execution Flow: DLL Side-Loading T1574.002
Defense Evasion: Impair Defenses: Disable or Modify Tools T1562.001
Discovery: System Owner/User Discovery T1033
Discovery: System Information Discovery T1082
コマンド&コントロール: Application Layer Protocol: Web Protocols T1071.001
コマンド&コントロール: Web Service: Bidirectional Communication T1102.002
コマンド&コントロール: Ingress Tool Transfer T1105

関連ニュース&研究