BlueBravo: backdoor GraphicalProton contro Europa orientale

L’attore di minaccia statale russo noto come BlueBravo è stato osservato mentre mirava a entità diplomatiche in tutta l’Europa orientale con l’obiettivo di distribuire una nuova backdoor chiamata GraphicalProton, esemplificando la continua evoluzione della minaccia.

La campagna di phishing di BlueBravo

La campagna di phishing è caratterizzata dall’uso di servizi internet legittimi (LIS) per l’offuscamento del comando e controllo (C2), come riportato da Recorded Future in un nuovo rapporto pubblicato giovedì. L’attività è stata osservata tra marzo e maggio 2023.

BlueBravo, noto anche con i nomi APT29, Cloaked Ursa e Midnight Blizzard (precedentemente Nobelium), è attribuito al Servizio di intelligence estero della Russia (SVR) e in passato ha utilizzato Dropbox, Firebase, Google Drive, Notion e Trello per evitare il rilevamento e stabilire in modo furtivo comunicazioni con host infetti.

La nuova backdoor GraphicalProton

GraphicalProton è l’ultima aggiunta a una lunga lista di malware che mirano alle organizzazioni diplomatiche dopo GraphicalNeutrino (alias SNOWYAMBER), HALFRIG e QUARTERRIG.

🔴 OSSERVATORIO INTELLIGENCE: LIVE

Annuncio

“A differenza di GraphicalNeutrino, che utilizzava Notion per C2, GraphicalProton utilizza Microsoft’s OneDrive o Dropbox per la comunicazione”, ha dichiarato l’azienda di cybersecurity.

Questo segna un tentativo da parte degli operatori di BlueBravo di diversificare non solo i loro strumenti, ma anche di ampliare il portafoglio di servizi abusati per mirare a organizzazioni di interesse strategico per la nazione.

“È fondamentale che i difensori della rete siano consapevoli della possibilità dell’abuso di questi servizi all’interno della loro impresa e riconoscano le istanze in cui potrebbero essere utilizzati in sforzi simili per esfiltrare informazioni”, hanno affermato i ricercatori.