Fredag ​​den 29. marts 2024

Desktop v4.2.1

Root NationНовиниIT nyhederRussiske NOBELIUM-hackere målrettede EU-regeringer, der hjælper Ukraine

Russiske NOBELIUM-hackere målrettede EU-regeringer, der hjælper Ukraine

-

NOBELIUM-gruppen, også kendt som APT29, er en trusselsaktør knyttet til den russiske regering og den russiske udenrigsefterretningstjeneste, der retter sig mod vestlige lande. For nylig optog BlackBerry-forskere en ny kampagne, som var rettet mod landene i Den Europæiske Union, især mod deres diplomatiske institutioner og systemer, der transmitterer fortrolige oplysninger om politikken i regionen, hjælper ukrainere med at flygte ud af landet på grund af krigen, og den ukrainske regering.

Den nye NOBELIUM-kampagne skaber lokkemad for dem, der er interesserede i det polske udenrigsministeriums nylige besøg i USA og bruger aktivt det elektroniske system til udveksling af officielle dokumenter i EU LegisWrite.

Cyber ​​angreb

APT29-gruppen skabte internationale overskrifter tilbage i december 2020, da et forsyningskædeangreb på højt niveau trojaniserede en SolarWinds Orien-softwareopdatering. Det inficerede tusindvis af brugere ved at sprede en bagdør kaldet SunBurst. Historisk set har NOBELIUM rettet sig mod statslige og ikke-statslige organisationer, analytikere, militæret, it-tjenesteudbydere, medicinsk teknologi og forskning og telekommunikationsudbydere.

Infektionsvektoren for denne kampagne var målrettet phishing en e-mail med et ondsindet dokument, der indeholder et link til at downloade en HTML-fil. De ondsindede URL'er blev hostet på et legitimt online bibliotekswebsted, og eksperter mener, at angriberne kompromitterede det engang mellem slutningen af ​​januar 2023 og begyndelsen af ​​februar.

Et af linkene er rettet mod dem, der ønsker at kende arbejdsplanen for Polens ambassadør for 2023. Hans optræden falder sammen med ambassadør Marek Magierowskis besøg i USA og hans tale den 2. februar, hvor han diskuterede krigen i Ukraine. En anden lokkefugl bruger legitime systemer, der bruges i EU-lande til informationsudveksling og sikker dataoverførsel. For eksempel er LegisWrite et redigeringsprogram, der muliggør sikker udveksling af dokumenter mellem EU-regeringer.

Russiske NOBELIUM-hackere målrettede EU-regeringer, der hjælper Ukraine

Det faktum, at LegisWrite bruges i den ondsindede e-mail, indikerer det ubudne gæster rettet specifikt mod statslige organisationer inden for EU. Yderligere analyse af den ondsindede HTML-fil afslørede, at det er en version af NOBELIUM dropper kendt som ROOTSAW og EnvyScout.

Kæden af ​​handlinger fører til download af en fil kaldet BugSplatRc64.dll, hvis formål er at stjæle information om det inficerede system, såsom brugernavn og IP-adresse på ejeren. Disse data bruges til at generere en unik offer-id, som derefter sendes til kommando- og kontrolserveren (C2).

Også interessant:

Malwareleveringen af ​​denne kampagne er baseret på brugen af ​​ældre netværksinfrastruktur, der er blevet kompromitteret af APT29. Brug af en kompromitteret legitim server til at hoste skjult malware øger chancerne for vellykket installation på computere ofre.

Baseret på den aktuelle situation relateret til Ruslands krig mod Ukraine, besøget af den polske ambassadør i USA og hans foredrag om krigen, samt misbruget af onlinesystemet, der bruges til udveksling af dokumenter inden for EU, skriver BlackBerry-eksperter konkluderede, at NOBELIUM-kampagnen er rettet mod, at der er vestlige lande, der yder bistand til Ukraine.

Læs også:

Dzherelobrombær
Tilmelde
Giv besked om
gæst

0 Kommentarer
Indlejrede anmeldelser
Se alle kommentarer
Andre artikler
Abonner for opdateringer

Seneste kommentarer

Populær nu
0
Vi elsker dine tanker, kommenter venligst.x
()
x