Grupa za sajber prijetnje koju sponzoriše država BlueAlpha aktivna je najmanje od 2014. godine i nedavno je nadogradila svoj sistem isporuke malicioznog softvera kako bi iskoristila Cloudflare tunele za postavljanje malicioznog softvera GammaDrop.
Primijećeno je da BlueAlpha koristi spear phishing za distribuciju malicioznih HTML datoteka za krijumčarenje koje izvršavaju varijante malicioznog softvera GammaDrop i GammaLoad.
Krijumčarenje HTML-a omogućava isporuku malicioznog softvera putem ugrađenog JavaScripta u HTML priloge. BlueAlpha je poboljšao ovu tehniku tako što je napravio suptilne promjene kako bi izbjegao otkrivanje.
BlueAlpha-ina upotreba sistema imena domena (DNS) koji se brzo mijenja u GammaLoad komandnoj i kontroli (C2) infrastrukturi komplikuje praćenje i ometa komunikaciju u održavanju pristupa ugroženim mrežama.
Uz relativno male promjene u alatima i infrastrukturi, ova kampanja traje barem od početka 2024. godine i uvelike je zadržala svoje tehnike, taktike i procedure (TTP).
BlueAlpha zloupotrebljava uslugu Cloudflare tuneliranja
Cloudflare pruža uslugu tuneliranja besplatno putem TryCloudflare alata. Svatko može koristiti alat za izgradnju tunela koristeći nasumično generisanu poddomenu trycloudflare.com, a svi upiti na tu poddomenu bit će proslijeđeni web serveru na tom hostu preko Cloudflare mreže.
BlueAlpha koristi ovo da sakrije infrastrukturu za postavljanje koja se koristi za isporuku GammaDrop-a. „BlueAlpha je iskoristila Cloudflare tunele kao dio svoje infrastrukture za postavljanje GammaDrop, omogućavajući joj da efikasno izbjegne tradicionalne mehanizme detekcije mreže i dodatno komplikuje napore da identifikuje i blokira svoje aktivnosti“, Recorded Future’s Insikt Group je podijelio sa Cyber Security News.
Paket malicioznog softvera koji koristi BlueAlpha je od suštinskog značaja za njegove kampanje:
GammaDrop: Služi kao dropper, zapisuje GammaLoad na disk dok osigurava postojanost.
GammaLoad: Prilagođeni učitavač sposoban da se poveže na svoj C2 i pokrene dodatni zlonamjerni softver.
GammaLoad je prilagođeni VBScript malver koji BlueAlpha isporučuje najmanje od oktobra 2023. Omogućava krađu akreditiva, eksfiltraciju podataka i uporan pristup ciljanim mrežama.
Prema istraživačima, BlueAlpha komplikuje istragu koristeći taktike zamagljivanja kao što su velike količine neželjenog koda i imena nasumičnih varijabli.
BlueAlpha je organizacija za sajber prijetnje koju sponzoriše država koja djeluje pod vodstvom ruske Federalne službe sigurnosti (FSB). Preklapa se sa prethodno prijavljenim grupama Gamaredon, Shuckworm, Hive0051 i UNC530.
Najmanje od 2014. BlueAlpha aktivno distribuira prilagođeni malver ciljajući ukrajinska preduzeća upornim phishing napadima.
Ublažavanje
- Implementirajte alate za ispitivanje i sprječavanje krijumčarenja HTML-a. Prilozi sa sumnjivim HTML događajima, kao što je onerror, trebaju biti označeni.
- Postavite pravila kontrole aplikacija kako biste spriječili malicioznog korištenje nepouzdanih .lnk datoteka i mshta.exe.
- Kreirajte pravila za identifikaciju neovlaštenih DNS-over-HTTPS (DoH) veza i upita za trycloudflare.com poddomena.
Da bi se izbjegle ove složene prijetnje, organizacije moraju održavati budnost i ulagati u vrhunske sposobnosti otkrivanja i reagovanja.
Izvor: CyberSecurityNews
