BlueAlpha kampány eszközei
A Recorded Future Insikt Group jelentése szerint a BlueAlpha nevű, orosz állami támogatású kiberkémkedési csoport új módszereket alkalmaz ukrán célpontok elleni támadásaiban. A csoport a Cloudflare Tunnels szolgáltatást használja fel a GammaDrop nevű rosszindulatú programjának terjesztésére, ezzel elrejtve a támadási infrastruktúrát és megnehezítve a hagyományos hálózati védelmi mechanizmusok számára a tevékenységük észlelését.
A BlueAlpha a Cloudflare Tunnels szolgáltatást alkalmazza a GammaDrop rosszindulatú program stádiumainak elrejtésére, ami egyre népszerűbb technika a kiberbűnözők körében a rosszindulatú szoftverek telepítésére. A csoport továbbra is ukrán szervezeteket támad célzott adathalász e-mailekkel, amelyek HTML smuggling technikát alkalmazó csatolmányokat tartalmaznak, hogy Visual Basic Script (VBScript) alapú rosszindulatú programokat juttassanak a célpontok rendszereire. A BlueAlpha a GammaLoad parancs- és vezérlő (C2) infrastruktúrájában DNS fast-flux technikát használ, hogy megnehezítse a C2 kommunikációk nyomon követését és megszakítását, ezzel biztosítva a hozzáférést a kompromittált rendszerekhez.
A jelentés kiemeli, hogy a BlueAlpha tevékenységei 2024 eleje óta folyamatosak, és bár a technikáik, taktikáik és eljárásaik (TTP-k) nagyrészt változatlanok maradtak, kisebb módosításokat hajtottak végre az eszközeikben és infrastruktúrájukban.
A Recorded Future megosztott az azonosításhoz szükséges mutatókat is.