Групата NOBELIUM, известна още като APT29, е заплаха, свързана с руското правителство и руската служба за външно разузнаване, която е насочена към западни държави. Наскоро изследователите на BlackBerry записаха нов кампания, който беше насочен към страните от Европейския съюз, по-специално към техните дипломатически институции и системи, които предават поверителна информация за политиката в региона, помагат на украинците, бягащи от страната поради войната, и украинското правителство.
Новата кампания NOBELIUM създава стръв за онези, които се интересуват от скорошното посещение на полското министерство на външните работи в САЩ и активно използва електронната система за обмен на официални документи в ЕС LegisWrite.
Групата APT29 направи международни заглавия през декември 2020 г., когато атака на веригата за доставки на високо ниво троянизира софтуерна актуализация на SolarWinds Orien. Той зарази хиляди потребители чрез разпространение на задна врата, наречена SunBurst. В исторически план NOBELIUM е насочен към правителствени и неправителствени организации, анализатори, военни, доставчици на ИТ услуги, медицински технологии и изследвания и доставчици на телекомуникации.
Векторът на инфекцията за тази кампания беше насочен фишинг имейл със злонамерен документ, който съдържа връзка за изтегляне на HTML файл. Злонамерените URL адреси са хоствани на легитимен сайт на онлайн библиотека и експерти смятат, че нападателите са го компрометирали някъде между края на януари 2023 г. и началото на февруари.
Една от връзките е насочена към тези, които искат да знаят работния график на посланика на Полша за 2023 г. Появата му съвпада с посещението на посланик Марек Магеровски в САЩ и речта му на 2 февруари, където той обсъди войната в Украйна. Друга примамка използва законни системи, използвани в страните от ЕС за обмен на информация и защитен трансфер на данни. Например LegisWrite е програма за редактиране, която позволява сигурен обмен на документи между правителствата на ЕС.
Фактът, че LegisWrite се използва в злонамерения имейл, показва това натрапници насочени конкретно към държавни организации в рамките на Европейския съюз. Допълнителен анализ на злонамерения HTML файл разкри, че това е версия на капкомера NOBELIUM, известен като ROOTSAW и EnvyScout.
Веригата от действия води до изтеглянето на файл, наречен BugSplatRc64.dll, чиято цел е да открадне информация за заразената система, като потребителско име и IP адрес на собственика. Тези данни се използват за генериране на уникален идентификатор на жертвата, който след това се изпраща до командния и контролен сървър (C2).
Също интересно:
Доставката на зловреден софтуер на тази кампания се основава на използването на наследена мрежова инфраструктура, която е била компрометирана от APT29. Използването на компрометиран легитимен сървър за хостване на скрит зловреден софтуер увеличава шансовете за успешно инсталиране на компютри жертви.
Въз основа на настоящата ситуация, свързана с войната на Русия срещу Украйна, посещението на полския посланик в САЩ и неговите разговори за войната, както и злоупотребата с онлайн системата, използвана за обмен на документи в рамките на Европейския съюз, експертите на BlackBerry заключи, че кампанията NOBELIUM е насочена към западни държави, които предоставят помощ на Украйна.
Прочетете също: