>
Insiktレポート

BlueBravoは大使のキーワードを使ってGraphicalNeutrinoマルウェアを展開

投稿: 2023年1月27日
作成者 : Insikt Group®

insikt-group-logo-updated-3-300x48.png

編集者注:これは完全なレポートの抜粋です。 文末脚注付きの分析全体を読むには、 ここをクリックして レポートをPDFとしてダウンロードしてください。

Executive Summary

BlueBravoは、Recorded FutureのInsikt Groupが追跡している脅威グループで、APT29やNOBELIUMとして追跡されているロシアの持続的標的型攻撃(APT)活動と重複しています。 APT29とNOBELIUMの作戦は、 以前は、外国のスパイ活動、積極的な措置、電子監視を担当する組織であるロシアの対外情報局(SVR)による ものとされていました 。 2022年10月、BlueBravoが悪意のあるZIPファイル内にグラフィカルなNeutrinoマルウェアをステージングしていることを確認しました。 このZIPファイルのステージングと展開は、以前に採用されていたドロ ッパーEnvyScoutと重複しており、その使用は APT29NOBELIUMにリンクされています。

BlueBravoは、おとり作戦の一環として、「Ambassador's schedule November 2022」というテキストを含む侵害されたWebサイトを使用しました。 このルアーのテーマから、このキャンペーンのターゲットは大使館職員や大使に関係しているのではないかと推測されます。 このターゲティングプロファイルは、2022年初頭にInQuestが報じた、NOBELIUMと報じられたこのグループが、イスラエル大使館に関連するコンテンツを表示する「Ambassador_Absense.docx」というタイトルのルアー文書を使用していると報告した以前の レポート と一致しています。 展開と実行後、InQuestはマルウェアBEATDROPがtrello[.]コム コマンド&コントロール(C2)のために、検出を回避し、アクティビティの帰属に課題を生じさせようとしました。

BEATDROPがTrelloをデータ交換に使用しているのと同様に、GraphicalNeutrinoはC2に米国(US)ベースのビジネス自動化サービスNotionを使用していることがわかりました。 BlueBravoによるNotionサービスの使用は、検出を回避するためにTrello、Firebase、Dropboxなどの複数のオンラインサービス を採用し ているため、以前の戦術、技術、手順(TTP)の継続です。 BlueBravoが採用しているような正規のサービスの悪用は、正規のサービスへの悪意のあるアクセスに対する防御が難しいため、ネットワーク防御者にとって複雑な問題となります。 この手法の使用はより一般的になりつつあり、ネットワーク防御者にとって引き続き問題となるでしょう。

GraphicalNeutrinoは、基本的なC2機能を備えたローダーとして機能し、APIのアンフック、APIの動的解決、文字列の暗号化、サンドボックス回避など、多数の解析防止技術を実装しています。 C2通信にNotionのAPIを活用し、Notionのデータベース機能を使用して被害者の情報を保存し、ダウンロード用のペイロードをステージングします。

入手可能なデータに基づいてこの作戦の意図された目標を評価することはできませんが、ウクライナで進行中の戦争の場合のように、地政学的緊張が高まっている時期には、大使や大使館をテーマにしたルアーが特に効果的である可能性があります。 このような期間中、ロシアのAPTグループは、そのような通信を受け取る団体や個人の侵害から収集される可能性のある情報が、ロシアの外交政策やより広範なロシアの戦略的意思決定プロセスに直接影響を与える可能性が高いため、外交をテーマにしたルアーを広範囲に利用する可能性が非常に高いです。

過去のAPT29とSVRの サイバー 作戦と積極的な対策に基づいて、紛争の中心地にある他の国も標的にされるリスクがある可能性が高いと評価しています。 この標的は、SVRに関連する脅威アクターの継続的な関心を表していることはほぼ確実であり、外交政策に従事するエンティティや組織から戦略的情報にアクセスしようとする彼らの継続的な意図と一致しています。 ウクライナ危機と関係のある国、特にロシアやウクライナと地政学的、経済的、軍事的に重要な関係を持つ国は、標的にされるリスクが高くなります。

主な判断

  • BlueBravoが使用する新しいマルウェアは、西側諸国の政府や研究者がロシア対外情報局(SVR)と関連付けているAPT29およびNOBELIUMとして追跡されているロシアのAPTアクティビティと重複しています。
  • 特定されたステージングインフラストラクチャは、侵害されたWebサイトを使用してアーカイブファイル内でBlueBravoマルウェアを配信する傾向を続けています。 これらのファイルの配信には、EnvyScoutと同じHTMLスマグリング手法が使用されます。
  • また、このマルウェアは、DLL検索順序のハイジャックを利用して実行し、ホストでの検出を回避するのに役立ちます。
  • Trello、Firebase、Dropboxの最初のC2としてNotionが変更されたことは、BlueBravoがマルウェアトラフィックをブレンドして検出を回避するために、欧米の正規サービスを拡大しながらも継続的に使用していることを示しています。
  • 第2段階のマルウェア、後続のC2サーバー、または被害者は特定されませんでしたが、最初のルアーページは、BlueBravoの標的が未知の大使館職員または大使に関連していることを示唆しています。
  • 大使館関連の情報は、特にロシアのウクライナでの戦争の真っ只中では、価値の高い情報と見なされる可能性があります。

背景

BlueBravoの標的、その戦術、技術、手順(TTP)、および標的の関心と作戦は、APT29およびNOBELIUMとして公に報告されているロシアの高度で持続的な脅威活動と重複しています。 SVRは、外国のスパイ活動、積極的な措置、および電子監視を担当しています。 第三者の報告によると、APT29は 少なくとも 2008年から活動しており、安全保障と防衛、政治、研究に関連する組織に対するスパイ活動に従事しています。 APT29は当初、チェチェン人や反体制派組織 を監視していた ことが確認されたが、2015年には 国防総省 、2016年には 民主党全国委員会 (DNC)と米国のシンクタンク、2017年にはノルウェー 政府いくつかの オランダの省庁など、西側の組織を標的に拡大した。

2021年、BlueBravoが政府機関を模倣した フィッシングキャンペーン のさまざまな 反復 を使用したことが公表されました。さまざまなキャンペーンは、URL を使用して ISOファイルをダウンロードしてLNKファイルを実行したり、電子メールにHTML 添付ファイル を使用してISOファイルのダウンロードを開始したりするなどの方法でISOファイルを配信しました。 このアクティビティは、カスタムのCobalt Strikeローダーの総称であるNativeZoneのデプロイに使用されました。 NativeZoneは通常、rundll32.exeを使用して後続のペイロードをロードして実行します。

BlueBravoは、幅広いカスタムマルウェアとオープンソースツールを採用しています。 注目すべき側面は、 Python Go PowerShell Assembly などのさまざまな言語で開発されたインプラントを使用して、 進化する マルウェアファミリと開発手法です。

関連