Cyberthreat.id - Aktor negara-bangsa Rusia yang dikenal sebagai BlueBravo diamati menargetkan entitas diplomatik di seluruh Eropa Timur. Tujuannya menyebarkan backdoor baru yang disebut GraphicalProton, yang menunjukkan evolusi berkelanjutan dari ancaman tersebut.

“Kampanye phishing ditandai dengan penggunaan layanan internet (LIS) yang sah untuk membingungkan perintah-dan-kontrol (C2),” kata Recorded Future dalam laporan baru yang diterbitkan Kamis sebagaimana dipublikasi The Hacker News. Aktivitas tersebut diamati antara Maret dan Mei 2023.

BlueBravo, juga dikenal dengan nama APT29, Cloaked Ursa, dan Midnight Blizzard (sebelumnya Nobelium), diatribusikan ke Foreign Intelligence Service (SVR) Rusia. Di masa lalu menggunakan Dropbox, Firebase, Google Drive, Notion, dan Trello untuk menghindari deteksi dan diam-diam membangun komunikasi dengan host yang terinfeksi.

Untuk itu, GraphicalProton adalah tambahan terbaru dari daftar panjang malware yang menargetkan organisasi diplomatik setelah GraphicalNeutrino (alias SNOWYAMBER), HALFRIG, dan QUARTERRIG.

"Tidak seperti GraphicalNeutrino, yang menggunakan Notion untuk C2, GraphicalProton menggunakan Microsoft OneDrive atau Dropbox untuk komunikasi," kata perusahaan keamanan siber itu.

Ini menandai upaya pihak operator BlueBravo untuk tidak hanya mendiversifikasi perkakas mereka tetapi juga memperluas portofolio layanan yang disalahgunakan untuk menargetkan organisasi yang memiliki kepentingan strategis bagi negara.

"BlueBravo tampaknya memprioritaskan upaya spionase dunia maya terhadap entitas sektor pemerintah Eropa, mungkin karena kepentingan pemerintah Rusia pada data strategis selama dan setelah perang di Ukraina."

Strain malware baru, seperti GraphicalNeutrino, berfungsi sebagai pemuat dan dipentaskan dalam file ISO atau ZIP yang dikirim melalui email phishing berisi umpan bertema kendaraan, tumpang tindih dengan kumpulan intrusi yang dilaporkan oleh Palo Alto Networks Unit 42 awal bulan ini.

File ISO berisi file .LNK yang menyamar sebagai gambar .PNG dari mobil BMW yang konon untuk dijual, yang ketika diklik, mengarah ke penerapan GraphicalProton untuk eksploitasi lanjutan. Ini dicapai dengan menggunakan Microsoft OneDrive sebagai C2 dan mengumpulkan folder secara berkala di layanan penyimpanan untuk mengambil muatan tambahan.

"Sangat penting bagi pembela jaringan untuk menyadari kemungkinan penyalahgunaan layanan ini dalam perusahaan mereka dan untuk mengenali contoh di mana mereka dapat digunakan dalam upaya serupa untuk mengekstraksi informasi," kata para peneliti.

Perkembangan itu terjadi ketika Tim Tanggap Darurat Komputer Ukraina (CERT-UA) memperingatkan serangan phishing yang sedang berlangsung yang dilakukan oleh kelompok yang disebut kelompok UAC-0006, yang menurut badan tersebut mengintensifkan upaya untuk menarik pengguna agar memasang pintu belakang yang dikenal sebagai SmokeLoader.[]