Il collettivo connesso con la Russia noto come BlueBravo sembra aver preso di mira entità diplomatiche europee, soprattutto nella zona orientale, diffondendo una nuova backdoor.
Questa, nota come GraphicalProton, viene promossa attraverso una campagna phishing caratterizzata dall’uso di servizi Internet legittimi (LIS) sfruttati per offuscare i server di controllo. Secondo quanto affermato da un report di Recorded Future, le prime avvisaglie di questa offensiva sono state percepite tra marzo e maggio 2023.
BlueBravo, noto anche con i nomi APT29, Cloaked Ursa e Midnight Blizzard è considerato un gruppo connesso al Foreign Intelligence Service russo e in passato ha utilizzato Dropbox, Firebase, Google Drive, Notion e Trello per eludere rilevamento e diffondere vari agenti malevoli.
A tal proposito, GraphicalProton non altro che l’ultimo arrivato in un lungo elenco di malware che, da tempo, prendono di mira le organizzazioni diplomatiche, con GraphicalNeutrino come uno dei nomi più temuti della lista.
Backdoor GraphicalProton: cos’è e come funziona
Recorded Future ha affermato a riguardo come “a differenza di GraphicalNeutrino, che utilizzava Notion per C2, GraphicalProton utilizza OneDrive o Dropbox per svolgere il suo lavoro“.
La stessa società ha poi puntualizzato come “BlueBravo sembra dare la priorità agli sforzi di spionaggio informatico contro le entità del settore del governo europeo, probabilmente a causa dell’interesse del governo russo per i dati strategici durante e dopo la guerra in Ucraina“.
Il nuovo ceppo di malware, come GraphicalNeutrino, funziona come un loader e viene proposto alle vittime solitamente all’interno di un file ISO o ZIP ed inviato tramite un’e-mail di phishing.
Le ISO contengono file .LNK che si mascherano come immagini .PNG di un’auto BMW, presumibilmente in vendita. In caso di apertura dell’immagine, viene avviato il processo vero e proprio di infezione. Il tutto avviene sfruttando Microsoft OneDrive come C2 ed eseguendo periodicamente il polling di una cartella nel servizio di archiviazione per recuperare payload aggiuntivi.
Secondo i ricercatori di Recorded Future “è imperativo che i difensori della rete siano consapevoli della possibilità di un uso improprio di questi servizi all’interno della propria azienda e riconoscano i casi in cui possono essere utilizzati inazioni simili per esfiltrare informazioni“.