黑客资讯

与俄罗斯有联系的BlueBravo被发现通过GraphicalProton后门瞄准东欧的外交实体。据观察，该组织正在进行鱼叉式网络钓鱼活动，最终目标是用一个名为GraphicalProton的新后门感染收件人。

该活动是在2023年3月至5月期间观察到的，黑客利用合法互联网服务（LIS）进行指挥控制，扩大了滥用的服务范围。

早在2023年1月，Insikt的研究人员就观察到BlueBravo使用一种名为GraphicalNeutrino的主题诱饵来传递恶意软件。GraphicalProton是该组织武器库中的另一个恶意软件，与GraphicalNeutrino不同的是，它使用微软的OneDrive或Dropbox进行C2通信。

Recorded Future表示：“该组织滥用LIS是一种持续的策略，因为他们使用了Trello、Firebase和Dropbox等各种在线服务来逃避检测。BlueBravo似乎优先进行针对欧洲政府部门的网络间谍活动，这可能是因为俄罗斯政府在乌克兰战争期间对战略数据感兴趣。”

GraphicalNeutrino和GraphicalProton都被用作加载程序，后者被放置在钓鱼电子邮件传递的ISO或ZIP文件中。

2023年5月，Insikt Group首次为客户端描述了GraphicalProton恶意软件。Graphical质子充当加载程序，与之前描述的GraphicalNeutrino样本非常相似，它在ISO或ZIP文件中暂存，并依赖于新识别的受损域来传递到目标主机。与之前使用Notion进行C2的GraphicalNeutrino的一些分析样本不同，观察到新确定的GraphiicalProton样本使用了Microsoft OneDrive。

攻击中使用的ISO文件包含LNK文件，这些文件伪装成要出售的宝马汽车的PNG图像。单击该文件后，它将启动GraphicalProton感染链。黑客将Microsoft OneDrive用作C2，并定期轮询存储服务中的文件夹以获取额外的有效载荷。