블루브라보, 그래픽프로톤 멀웨어로 외교 기관을 표적으로 삼는 공격에 적응하다

레코디드 퓨처의 인식트 그룹은 합법적인 인터넷 서비스(LIS)를 이용해 명령 및 제어 네트워크 트래픽을 숨기려는 노력을 강화하고 이러한 목적으로 악용되는 서비스 범위를 확대하는 러시아 국가 행위자들의 활동을 모니터링하고 있습니다. 블루브라보는 인식트 그룹이 추적하는 위협 그룹으로, 러시아 해외정보국(SVR)의 소행으로 추정되는 러시아 지능형 지속 위협(APT) 그룹 APT29 및 미드나잇 블리자드의 행동과 일치합니다.

(블루브라보 공격 흐름의 개요(출처: 레코디드 퓨처)

2023년 1월, 인식트 그룹은 블루브라보가 그래픽뉴트리노라는 멀웨어를 유포하기 위해 테마 미끼를 사용했다고 보고했습니다. 이들은 손상된 인프라, 알려진 멀웨어 제품군, 명령 및 제어(C2)를 위한 타사 서비스, 재사용된 루어 테마 등 이 그룹이 사용하는 몇 가지 일관된 전술을 확인했습니다. 블루브라보에서 사용하는 또 다른 멀웨어 변종인 그래픽프로톤이 발견되었습니다. C2에 Notion을 사용했던 GraphicalNeutrino와 달리 GraphicalProton은 커뮤니케이션을 위해 Microsoft의 OneDrive 또는 Dropbox를 사용합니다.

트렐로, 파이어베이스, 드롭박스 등 다양한 온라인 서비스를 이용해 탐지를 회피하는 등 이 그룹의 LIS 오용은 지속적인 전략입니다. 블루브라보는 우크라이나 전쟁 중과 전쟁 후에 전략 데이터에 대한 러시아 정부의 관심으로 인해 유럽 정부 기관에 대한 사이버 첩보 활동을 우선순위로 삼고 있는 것으로 보입니다.

인싯트 그룹은 관찰된 동향을 바탕으로 블루브라보가 C2 난독화를 위해 타사 서비스를 활용하면서 새로운 멀웨어 변종을 계속 적응하고 만들어낼 것으로 예측하고 있습니다. 방어자들은 진화하는 그룹, 특히 러시아-우크라이나 분쟁과 관련하여 러시아 국가 행위자들의 표적이 된 조직을 추적하기 위해 추가적인 시간과 자원을 투자할 것을 촉구합니다.

블루브라보는 우크라이나에서 전쟁이 계속되는 동안 러시아 정보 수요자들에게 귀중한 정보를 제공하는 동유럽의 외교 및 외교 정책 기관을 표적으로 삼아 인프라를 개발하고 취약한 웹사이트를 손상시켜 새로운 변종 멀웨어를 배포할 것으로 예상됩니다.

각주가 포함된 전체 분석 내용을 읽으려면 여기를 클릭하여 보고서를 PDF로 다운로드하세요.

부록 A — 침해 지표

블루브라보 활동과 관련된 손상된 도메인: te-as[.]no easym6[.]com remcolours[.]com simplesalsamix[.]com sylvio[.]com[.]br reidao[.]com mightystake[.]com sharpledge[.]com fondoftravel[.]com 블루브라보 활동과 관련된 URL: te-as[.]no/wine[.]php easym6[.]com/Information.php reidao[.]com/dashboard.php resetlocations[.]com/bmw.htm simplesalsamix[.]com/e-yazi.html sylvio.com[.]br/form.php mightystake[.]com/sponsorship.php sharpledge[.]com/login.php fondoftravel[.]com/contact.php 파일: 9da5339a5a7519b8b639418ea34c9a95f11892732036278b14dbbf4810fec7a3 AppvIsvSubsystems64.dll6c55195f025fb895f9d0ec3edbf58bc0aa46c43eeb246cfb88eef1ae051171b3 Note.exe 22b037f0a42579b45530bed196dd2b47fd4d4dffb8daa2738581287932794954 Note.iso ed5c3800cf9eb3d76e5bab079c7f8f3e0748935f0696ce0898f8bd421c3c306f Bdcmetadataresource.xsd b84d6a12bb1756b69791e725b0e3d7a962888b31a8188de225805717c299c086 Note.iso aff3d7f9ebfdbe69c65b8441a911b539b344f2708e5cef498f10e13290e90c91 AppvIsvSubsystems64.dll 9f2b400439e610577a6bbc1f83849c6108689d99a9fe7bdd1c74e4dfffadde14 Bdcmetadataresource.xsd c71ec48a59631bfa3f33383c1f25719e95e5a80936d913ab3bfe2feb172c1c5e Note.zip 385973e7777081c81cfe236fcc8b3ebf5e4ae04f16030d525535f6cfe38cae7b AppvIsvSubsystems64.dll becbd20a19bab555b92d471b30b8159dfa709e9bc417e5d42d72c94546d9e61c Schema.inf 79a1402bc77aa2702dc5dca660ca0d1bf08a2923e0a1018da70e7d7c31d9417f bmw.iso 640a08b52623cd8702de066f1f9a6923b18283fc2656137cd9c584da1e07775c bmw1.png.lnk 6f37579d445639c7dfebb4927fe7f6ea70d25d1127f9d9b5078f8ccd4da36127 bmw2.png.lnk 0e22e6a1dc529008d62287cfddaed53c7f4cc698feec144f00c92594dc76d036 bmw3.png.lnk 02ce47bd766f7489c6326c30351eb9b365f9997de1b2f92924d130fa07e0d82c bmw4.png.lnk c5209127e65b0465c8a707ca127b067aa8756c1138bd0d3636f71bfbe8fd9bda bmw5.png.lnk e22bc75bb87e19554cd0f98c98b22a07368c2b23adacc41fe2cd68c20957d60a bmw6.png.lnk 2589700d01c8a60a4f2d8188e31712821c7085a4715785e2871ac517c81477e3 bmw7.png.lnk 62a903a4b5cd27d739950e71ab74061e815af4830a29df6dcbf8c1a34abc87cb bmw8.png.lnk 3a76182529c4fd5276091ed8ff4c4dcc89e4abc5981348a066c4eb34a9956947 bmw9.png.lnk 38f8b8036ed2a0b5abb8fbf264ee6fd2b82dcd917f60d9f1d8f18d07c26b1534 $Recycle.Bin/AppvIsvSubsystems64.dll 706112ab72c5d770d89736012d48a78e1f7c643977874396c30908fa36f2fed7 $Recycle.Bin/MSVCP140.dll e3abb477f3230c94bfc97ec8f7cee8d4ad4a1fba16cda1f318cfa12780fd33f7 $Recycle.Bin/Mso20Win32Client.DLL d0a3632404c5b4b224269ecedfbcdf2e02d7023a6ede4232c7e700d538504dfd $Recycle.Bin/bmw1.png 74723846c3e469e1652469d7adfefd8ee85d3fc2f44a4ddd6f852e12f728bb81 $Recycle.Bin/bmw2.png 7a7c86547c9e1ba6faafa1c673a0ff429104448a006918ff20910bd0a734ddd4 $Recycle.Bin/bmw3.png 400d8b83164de0bc4b9457fb1460b79c98d720bc5494727f9ab574173023d1e4 $Recycle.Bin/bmw4.png 6a97a31c1bce2993e624debcc30de4ac0240ffee66cb059ac6c85aba6a8ce688 $Recycle.Bin/bmw5.png 457988aca929192c46ca5440708a6c239a2c40596caf795afcc3d00661cdc86d $Recycle.Bin/bmw6.png 647d07167fe437adeb8af2e65b5560f2520a712bfbab43fbadd10b274d8045a3 $Recycle.Bin/bmw7.png d60b160b891e5ce6a52f6fe1ff49cf07510af80fce6db61aee46b3d5b830605f $Recycle.Bin/bmw8.png 1dd713c4760e2157d2eefb27809c0cd2a46f6042c92f1705514ea01b74cdb1cb $Recycle.Bin/bmw9.png c62199ef9c2736d15255f5deaa663158a7bb3615ba9262eb67e3f4adada14111 $Recycle.Bin/ojg2.px 6c55195f025fb895f9d0ec3edbf58bc0aa46c43eeb246cfb88eef1ae051171b3 $Recycle.Bin/windoc.exe 8902bd7d085397745e05883f05c08de87623cc15fe630b36ad3d208f01ef0596 a.docx 311e9c8cf6d0b295074ffefaa9f277cb1f806343be262c59f88fbdf6fe242517 키예프에서 판매되는 BMW 5 - 2023.docx 0dd55a234be8e3e07b0eb19f47abe594295889564ce6a9f6e8cc4d3997018839 e-yazi.zip 60d96d8d3a09f822ded0a3c84194a5d88ed62a979cbb6378545b45b04353bb37 AppvIsvSubsystems64.dll e3abb477f3230c94bfc97ec8f7cee8d4ad4a1fba16cda1f318cfa12780fd33f7 Mso20Win32Client.DLL 6c55195f025fb895f9d0ec3edbf58bc0aa46c43eeb246cfb88eef1ae051171b3 e-yazi.docx .exe 7a9d27006887464220c456cc1cdbcf7766bc8fd760114b79b04a7e3fef73b33a e-yazi.pdf 03959c22265d0b85f6c94ee15ad878bb4f2956a2b0047733edbd8fdc86defc48 okxi4t.z b422ba73f389ae5ef9411cf4484c840c7c82f2731c6324db0b24b6f87ce8477d Information.zip e7c49758bae63c83d251cacbfada7c09af0c3038e8ff755c4c04f916385805d8 AppvIsvSubsystems64.dll 6c55195f025fb895f9d0ec3edbf58bc0aa46c43eeb246cfb88eef1ae051171b3 Information .exe 5f6219ade8e0577545b9f13afd28f6d6e991326f3c427d671d1c1765164b0d57 dbg.info

부록 B — Mitre ATT&CK 기법

전술: 기법	ATT&CK 코드
자원 개발: 인프라 손상	T1584
실행: 사용자 실행: 악성 파일	T1204.002
지속성: 부팅 또는 로그온 자동 시작 실행: 레지스트리 실행 키/시작 폴더	T1547.001
방어 회피: 난독화된 파일 또는 정보 HTML 밀수	T1027.006
방어 회피: 난독화된 파일 또는 정보: 동적 API 해상도	T1027.007
방어 회피: 가장술: 오른쪽에서 왼쪽으로 오버라이드	T1036.002
방어 회피: 변장: 합법적인 이름 또는 위치 일치	T1036.005
방어 회피: 파일 또는 정보 복호화/복호화 해제: 방어 회피	T1140
방어 회피: 하이재킹 실행 흐름: DLL 검색 순서 하이재킹	T1574.001
방어 회피: 하이재킹 실행 흐름: DLL 사이드 로딩	T1574.002
방어 회피: 방어력 약화: 도구 비활성화 또는 수정	T1562.001
검색: 시스템 소유자/사용자 검색	T1033
검색: 시스템 정보 검색	T1082
명령 및 제어: 애플리케이션 계층 프로토콜: 웹 프로토콜	T1071.001
명령 및 제어: 웹 서비스: 양방향 통신	T1102.002
명령 및 제어: 인그레스 도구 전송	T1105