Групата НОБЕЛИУМ, позната и како АПТ29, е закана поврзана со руската влада и Руската служба за надворешно разузнавање, која ги таргетира западните земји. Неодамна, истражувачите на BlackBerry снимија нов кампања, која беше насочена кон земјите од Европската унија, особено кон нивните дипломатски институции и системи кои пренесуваат доверливи информации за политиката во регионот, им помагаат на Украинците кои бегаат од земјата поради војната и на украинската влада.
Новата кампања NOBELIUM создава мамка за оние кои се заинтересирани за неодамнешната посета на полското Министерство за надворешни работи на САД и активно го користи електронскиот систем за размена на официјални документи во EU LegisWrite.
Групата APT29 се најде на меѓународните наслови уште во декември 2020 година, кога напад на синџирот на снабдување на високо ниво тројанизираше ажурирање на софтверот SolarWinds Orien. Зарази илјадници корисници со ширење на задна врата наречена SunBurst. Историски гледано, NOBELIUM ги таргетира владините и невладините организации, аналитичарите, војската, давателите на ИТ услуги, медицинската технологија и истражување и давателите на телекомуникации.
Векторот на инфекција за оваа кампања беше насочен фишинг е-пошта со злонамерен документ што содржи врска за преземање HTML-датотека. Злонамерните URL-адреси беа хостирани на легитимна онлајн библиотека, а експертите веруваат дека напаѓачите ја компромитирале некаде помеѓу крајот на јануари 2023 година и почетокот на февруари.
Еден од линковите е наменет за оние кои сакаат да го знаат распоредот за работа на амбасадорот на Полска за 2023 година. Неговото појавување се совпаѓа со посетата на амбасадорот Марек Магиеровски на САД и неговиот говор на 2 февруари, каде што разговараше за војната во Украина. Друга мамка користи легитимни системи што се користат во земјите на ЕУ за размена на информации и безбеден пренос на податоци. На пример, LegisWrite е програма за уредување која овозможува сигурна размена на документи меѓу владите на ЕУ.
Тоа укажува на фактот дека LegisWrite се користи во злонамерната е-пошта натрапниците насочени конкретно кон државните организации во рамките на Европската Унија. Понатамошната анализа на злонамерната HTML-датотека откри дека тоа е верзија на NOBELIUM dropper позната како ROOTSAW и EnvyScout.
Синџирот на дејства води до преземање на датотека наречена BugSplatRc64.dll, чија цел е да се украдат информации за заразениот систем, како што се корисничкото име и IP адресата на сопственикот. Овие податоци се користат за генерирање на единствен идентификатор на жртвата, кој потоа се испраќа до серверот за команди и контрола (C2).
Исто така интересно:
Испораката на малициозен софтвер на оваа кампања се заснова на употреба на стара мрежна инфраструктура која е компромитирана од APT29. Користењето на компромитиран легитимен сервер за хостирање на скриен малициозен софтвер ги зголемува шансите за успешна инсталација на компјутерите жртви.
Врз основа на актуелната ситуација поврзана со војната на Русија против Украина, посетата на полскиот амбасадор во САД и неговите разговори за војната, како и злоупотребата на онлајн системот што се користи за размена на документи во Европската унија, експертите на BlackBerry заклучи дека кампањата NOBELIUM е насочена кон западните земји кои обезбедуваат помош за Украина.
Прочитајте исто така: