Група NOBELIUM, таксама вядомая як APT29, з'яўляецца пагрозай, звязанай з расійскім урадам і Службай знешняй разведкі Расіі, якая нацэлена на заходнія краіны. Нядаўна даследчыкі BlackBerry зафіксавалі новы кампанія, які быў скіраваны на краіны Еўрасаюза, у прыватнасці, на іх дыпламатычныя ўстановы і сістэмы, якія перадаюць канфідэнцыйную інфармацыю аб палітыцы рэгіёну, дапамагаюць украінцам, якія ўцякаюць з краіны з-за вайны, і ўрад Украіны.
Новая кампанія NOBELIUM стварае прынаду для тых, хто цікавіцца нядаўнім візітам Міністэрства замежных спраў Польшчы ў ЗША і актыўна выкарыстоўвае электронную сістэму абмену афіцыйнымі дакументамі ў ЕС LegisWrite.
Група APT29 трапіла ў міжнародныя навіны яшчэ ў снежні 2020 года, калі атака высокага ўзроўню на ланцужок паставак траянізавала абнаўленне праграмнага забеспячэння SolarWinds Orien. Ён заразіў тысячы карыстальнікаў, распаўсюдзіўшы бэкдор пад назвай SunBurst. Гістарычна склалася, што NOBELIUM быў накіраваны на ўрадавыя і няўрадавыя арганізацыі, аналітыкаў, вайскоўцаў, пастаўшчыкоў ІТ-паслуг, медыцынскіх тэхналогій і даследаванняў, а таксама пастаўшчыкоў тэлекамунікацыйных паслуг.
Вектар інфекцыі для гэтай кампаніі быў накіраваны фішынг ліст са шкоднасным дакументам, які змяшчае спасылку для загрузкі файла HTML. Шкоднасныя URL-адрасы размяшчаліся на законным сайце інтэрнэт-бібліятэкі, і эксперты мяркуюць, што зламыснікі ўзламалі яго дзесьці ў перыяд з канца студзеня 2023 года да пачатку лютага.
Адна са спасылак разлічана на тых, хто хоча даведацца графік працы амбасадара Польшчы на 2023 год. Ягонае зьяўленьне супадае зь візытам амбасадара Марэка Магероўскага ў ЗША і ягоным выступам 2 лютага, дзе ён абмяркоўваў вайну ва Ўкраіне. Іншая прынада выкарыстоўвае законныя сістэмы, якія выкарыстоўваюцца ў краінах ЕС для абмену інфармацыяй і бяспечнай перадачы дадзеных. Напрыклад, LegisWrite - гэта праграма для рэдагавання, якая забяспечвае бяспечны абмен дакументамі паміж урадамі ЕС.
Пра гэта сведчыць той факт, што LegisWrite выкарыстоўваецца ў шкоднасным электронным лісце зламыснікі накіравана менавіта на дзяржаўныя арганізацыі ў межах Еўрапейскага саюза. Далейшы аналіз шкоднаснага HTML-файла паказаў, што гэта версія дроппера NOBELIUM, вядомая як ROOTSAW і EnvyScout.
Ланцужок дзеянняў прыводзіць да загрузкі файла пад назвай BugSplatRc64.dll, мэтай якога з'яўляецца крадзеж інфармацыі аб заражанай сістэме, такой як імя карыстальніка і IP-адрас уладальніка. Гэтыя дадзеныя выкарыстоўваюцца для стварэння унікальнага ідэнтыфікатара ахвяры, які затым адпраўляецца на сервер кіравання (C2).
Таксама цікава:
Пастаўка шкоднасных праграм у гэтай кампаніі заснавана на выкарыстанні састарэлай сеткавай інфраструктуры, якая была скампраметавана APT29. Выкарыстанне скампраметаванага легітымнага сервера для размяшчэння схаваных шкоднасных праграм павялічвае шанцы на паспяховую ўстаноўку на кампутарах ахвяры.
Грунтуючыся на бягучай сітуацыі, звязанай з вайной Расеі супраць Украіны, візітам польскага амбасадара ў ЗША і ягонымі размовамі пра вайну, а таксама злоўжываннямі анлайн-сістэмай, якая выкарыстоўваецца для абмену дакументамі ўнутры Еўрасаюза, эксперты BlackBerry прыйшоў да высновы, што кампанія NOBELIUM нацэлена на заходнія краіны, якія аказваюць дапамогу Украіне.
Чытайце таксама: