APT29 kimi tanınan NOBELIUM qrupu Rusiya hökuməti və Qərb ölkələrini hədəf alan Rusiya Xarici Kəşfiyyat Xidməti ilə əlaqəli təhdid aktorudur. Bu yaxınlarda BlackBerry tədqiqatçıları yenisini qeyd etdilər kampaniya, Avropa İttifaqı ölkələrinə, xüsusən də regionun siyasəti ilə bağlı məxfi məlumatları ötürən, müharibə səbəbindən ölkədən qaçan ukraynalılara kömək edən diplomatik qurum və sistemlərinə və Ukrayna hökumətinə yönəldilib.
Yeni NOBELIUM kampaniyası Polşa Xarici İşlər Nazirliyinin son səfəri ilə maraqlananlar üçün yem yaradır. Amerika Birləşmiş Ştatları və AB LegisWrite-də rəsmi sənədlərin mübadiləsinin elektron sistemindən fəal şəkildə istifadə edir.
APT29 qrupu, 2020-ci ilin dekabrında yüksək səviyyəli təchizat zənciri hücumunun SolarWinds Orien proqram yeniləməsini troyanlaşdırdığı zaman beynəlxalq başlıqlara çevrildi. SunBurst adlı arxa qapını yayaraq minlərlə istifadəçini yoluxdurdu. Tarixən NOBELIUM hökumət və qeyri-hökumət təşkilatlarını, analitikləri, ordunu, İT xidmət təminatçılarını, tibbi texnologiya və tədqiqatları və telekommunikasiya provayderlərini hədəfə alıb.
Bu kampaniya üçün infeksiya vektoru hədəflənmişdir fişinq HTML faylını yükləmək üçün keçidi ehtiva edən zərərli sənədi olan e-poçt. Zərərli URL-lər qanuni onlayn kitabxana saytında yerləşdirilib və ekspertlər hesab edirlər ki, təcavüzkarlar onu 2023-cü ilin yanvar ayının sonu və fevralın əvvəli arasında pozublar.
Linklərdən biri Polşa səfirinin 2023-cü il üçün iş qrafiki ilə tanış olmaq istəyənlər üçün nəzərdə tutulub. Onun görünüşü səfir Marek Magierowskinin ABŞ-a səfəri və fevralın 2-də Ukraynadakı müharibəni müzakirə etdiyi çıxışı ilə üst-üstə düşür. Digər saxtakarlıq məlumat mübadiləsi və təhlükəsiz məlumat ötürülməsi üçün Aİ ölkələrində istifadə olunan qanuni sistemlərdən istifadə edir. Məsələn, LegisWrite Aİ hökumətləri arasında sənədlərin təhlükəsiz mübadiləsinə imkan verən redaktə proqramıdır.
Zərərli e-poçtda LegisWrite-dən istifadə edilməsi bunu göstərir müdaxilə edənlər xüsusilə Avropa İttifaqı daxilində dövlət təşkilatlarına yönəlmişdir. Zərərli HTML faylının sonrakı təhlili onun ROOTSAW və EnvyScout kimi tanınan NOBELIUM damcısının bir versiyası olduğunu ortaya qoydu.
Fəaliyyət zənciri BugSplatRc64.dll adlı faylın yüklənməsinə gətirib çıxarır ki, onun məqsədi yoluxmuş sistem haqqında istifadəçi adı və sahibinin İP ünvanı kimi məlumatları oğurlamaqdır. Bu məlumatlar unikal qurban identifikatoru yaratmaq üçün istifadə olunur, sonra isə komanda və idarəetmə serverinə (C2) göndərilir.
Həmçinin maraqlıdır:
Bu kampaniyanın zərərli proqram təminatı APT29 tərəfindən pozulmuş köhnə şəbəkə infrastrukturunun istifadəsinə əsaslanır. Gizli zərərli proqramı yerləşdirmək üçün təhlükə altına alınmış qanuni serverdən istifadə kompüterlərdə uğurlu quraşdırma şansını artırır qurbanlar.
BlackBerry ekspertləri Rusiyanın Ukraynaya qarşı müharibəsi, Polşa səfirinin ABŞ-a səfəri və onun müharibə ilə bağlı danışıqları, eləcə də Avropa İttifaqı daxilində sənəd mübadiləsi üçün istifadə edilən onlayn sistemdən sui-istifadə halları ilə bağlı mövcud vəziyyətə əsaslanaraq. NOBELIUM kampaniyasının Ukraynaya yardım göstərən Qərb ölkələrini hədəf aldığı qənaətinə gəlib.
Həmçinin oxuyun: