Skupina NOBELIUM, známá také jako APT29, je hrozbou napojenou na ruskou vládu a ruskou zahraniční zpravodajskou službu, která se zaměřuje na západní země. Nedávno výzkumníci BlackBerry zaznamenali nový kampaň, která byla zaměřena na země Evropské unie, zejména na jejich diplomatické instituce a systémy, které předávají důvěrné informace o politice regionu, pomáhají Ukrajincům utíkajícím ze země před válkou a ukrajinské vládě.
Nová kampaň NOBELIUM vytváří návnadu pro zájemce o nedávnou návštěvu polského ministerstva zahraničních věcí United States a aktivně využívá elektronický systém výměny úředních dokumentů v EU LegisWrite.
Skupina APT29 se dostala do mezinárodních titulků v prosinci 2020, kdy útok na vysokou úroveň dodavatelského řetězce trojanizoval aktualizaci softwaru SolarWinds Orien. Nakazil tisíce uživatelů šířením zadních vrátek s názvem SunBurst. Historicky se NOBELIUM zaměřovalo na vládní a nevládní organizace, analytiky, armádu, poskytovatele IT služeb, lékařské technologie a výzkum a poskytovatele telekomunikací.
Byl cílen vektor infekce pro tuto kampaň phishing e-mail se škodlivým dokumentem, který obsahuje odkaz ke stažení souboru HTML. Škodlivé adresy URL byly hostovány na legitimním webu online knihovny a odborníci se domnívají, že je útočníci kompromitovali někdy mezi koncem ledna 2023 a začátkem února.
Jeden z odkazů je zaměřen na ty, kteří chtějí znát harmonogram práce velvyslance Polska na rok 2023. Jeho vystoupení se shoduje s návštěvou velvyslance Marka Magierowského v USA a jeho projevem 2. února, kde diskutoval o válce na Ukrajině. Další návnada využívá legitimní systémy používané v zemích EU pro výměnu informací a bezpečný přenos dat. Například LegisWrite je editační program, který umožňuje bezpečnou výměnu dokumentů mezi vládami EU.
Skutečnost, že se v škodlivém e-mailu používá LegisWrite, to naznačuje vetřelci zaměřené konkrétně na státní organizace v rámci Evropské unie. Další analýza škodlivého souboru HTML odhalila, že se jedná o verzi kapátka NOBELIUM známého jako ROOTSAW a EnvyScout.
Řetězec akcí vede ke stažení souboru BugSplatRc64.dll, jehož účelem je ukrást informace o infikovaném systému, jako je uživatelské jméno a IP adresa vlastníka. Tato data se používají ke generování jedinečného identifikátoru oběti, který je poté odeslán do příkazového a řídicího serveru (C2).
Zajímavé také:
Doručování malwaru této kampaně je založeno na použití starší síťové infrastruktury, která byla kompromitována APT29. Použití kompromitovaného legitimního serveru k hostování skrytého malwaru zvyšuje šance na úspěšnou instalaci do počítačů obětí.
Experti BlackBerry na základě aktuální situace související s válkou Ruska proti Ukrajině, návštěvou polského velvyslance v USA a jeho rozhovory o válce i zneužívání online systému používaného pro výměnu dokumentů v rámci Evropské unie dospěl k závěru, že kampaň NOBELIUM se zaměřuje na západní země, které poskytují pomoc Ukrajině.
Přečtěte si také: