مجموعة NOBELIUM ، المعروفة أيضًا باسم APT29 ، هي جهة تهديد مرتبطة بالحكومة الروسية وجهاز المخابرات الخارجية الروسي الذي يستهدف الدول الغربية. في الآونة الأخيرة ، سجل باحثو بلاك بيري واحدة جديدة حملة، التي كانت تستهدف دول الاتحاد الأوروبي ، على وجه الخصوص ، في مؤسساتها وأنظمتها الدبلوماسية التي تنقل معلومات سرية حول سياسات المنطقة ، وتساعد الأوكرانيين الفارين من البلاد بسبب الحرب ، والحكومة الأوكرانية.
تخلق حملة NOBELIUM الجديدة طعمًا للراغبين في الزيارة الأخيرة لوزارة الخارجية البولندية إلى الولايات المتحدة الأمريكية ويستخدم بنشاط النظام الإلكتروني لتبادل الوثائق الرسمية في الاتحاد الأوروبي LegisWrite.
تصدرت مجموعة APT29 عناوين الصحف الدولية في ديسمبر 2020 عندما تسبب هجوم سلسلة التوريد رفيع المستوى في طروادة على تحديث برنامج SolarWinds Orien. لقد أصاب آلاف المستخدمين عن طريق نشر باب خلفي يسمى SunBurst. تاريخيًا ، استهدفت NOBELIUM المنظمات الحكومية وغير الحكومية والمحللين والعسكريين ومقدمي خدمات تكنولوجيا المعلومات والتكنولوجيا الطبية والبحوث ومقدمي خدمات الاتصالات.
تم استهداف ناقل العدوى لهذه الحملة التصيد بريد إلكتروني به مستند ضار يحتوي على ارتباط لتنزيل ملف HTML. تمت استضافة عناوين URL الضارة على موقع مكتبة شرعي عبر الإنترنت ، ويعتقد الخبراء أن المهاجمين قاموا باختراقها في وقت ما بين أواخر يناير 2023 وأوائل فبراير.
تستهدف إحدى الروابط أولئك الذين يرغبون في معرفة جدول عمل سفير بولندا لعام 2023. ويتزامن ظهوره مع زيارة السفير ماريك ماغيروفسكي للولايات المتحدة الأمريكية وخطابه في 2 فبراير حيث ناقش الحرب في أوكرانيا. يستخدم شرك آخر أنظمة مشروعة مستخدمة في دول الاتحاد الأوروبي لتبادل المعلومات ونقل البيانات بشكل آمن. على سبيل المثال ، LegisWrite هو برنامج تحرير يسمح بالتبادل الآمن للوثائق بين حكومات الاتحاد الأوروبي.
تشير حقيقة استخدام LegisWrite في البريد الإلكتروني الضار إلى ذلك الدخلاء تستهدف على وجه التحديد المنظمات الحكومية داخل الاتحاد الأوروبي. كشف تحليل إضافي لملف HTML الخبيث أنه نسخة من قطارة NOBELIUM المعروفة باسم ROOTSAW و EnvyScout.
تؤدي سلسلة الإجراءات إلى تنزيل ملف يسمى BugSplatRc64.dll ، والغرض منه سرقة معلومات حول النظام المصاب ، مثل اسم المستخدم وعنوان IP للمالك. تُستخدم هذه البيانات لإنشاء معرف الضحية الفريد ، والذي يتم إرساله بعد ذلك إلى خادم القيادة والتحكم (C2).
مثير للاهتمام أيضًا:
يعتمد تسليم البرامج الضارة لهذه الحملة على استخدام البنية التحتية للشبكة القديمة التي تم اختراقها بواسطة APT29. يؤدي استخدام خادم شرعي تم اختراقه لاستضافة البرامج الضارة المخفية إلى زيادة فرص التثبيت الناجح على أجهزة الكمبيوتر الضحايا.
استنادًا إلى الوضع الحالي المتعلق بحرب روسيا ضد أوكرانيا ، وزيارة السفير البولندي للولايات المتحدة ومحادثاته حول الحرب ، وكذلك إساءة استخدام نظام الإنترنت المستخدم لتبادل الوثائق داخل الاتحاد الأوروبي ، بحسب خبراء بلاك بيري. وخلص إلى أن حملة نوبيليوم تستهدف هناك دولًا غربية تقدم مساعدات لأوكرانيا.
اقرأ أيضا: