Die NOBELIUM-Gruppe, auch bekannt als APT29, ist ein mit der russischen Regierung und dem russischen Auslandsgeheimdienst verbundener Bedrohungsakteur, der westliche Länder ins Visier nimmt. Kürzlich haben BlackBerry-Forscher einen neuen aufgezeichnet Kampagne, das sich an die Länder der Europäischen Union richtete, insbesondere an ihre diplomatischen Institutionen und Systeme, die vertrauliche Informationen über die Politik der Region übermitteln, den Ukrainern helfen, die wegen des Krieges aus dem Land fliehen, und der ukrainischen Regierung.
Die neue NOBELIUM-Kampagne schafft Köder für Interessierte am jüngsten Besuch des polnischen Außenministeriums an Vereinigte Staaten und nutzt aktiv das elektronische System zum Austausch amtlicher Dokumente in der EU LegisWrite.
Die APT29-Gruppe machte bereits im Dezember 2020 internationale Schlagzeilen, als ein hochrangiger Angriff auf die Lieferkette ein Software-Update von SolarWinds Orien trojanisierte. Es infizierte Tausende von Benutzern, indem es eine Hintertür namens SunBurst verbreitete. In der Vergangenheit hat NOBELIUM Regierungs- und Nichtregierungsorganisationen, Analysten, das Militär, IT-Dienstleister, medizinische Technologie und Forschung sowie Telekommunikationsanbieter ins Visier genommen.
Der Infektionsvektor für diese Kampagne wurde ins Visier genommen Phishing eine E-Mail mit einem schädlichen Dokument, das einen Link zum Herunterladen einer HTML-Datei enthält. Die schädlichen URLs wurden auf einer legitimen Website einer Online-Bibliothek gehostet, und Experten glauben, dass die Angreifer sie irgendwann zwischen Ende Januar 2023 und Anfang Februar kompromittiert haben.
Einer der Links richtet sich an diejenigen, die den Arbeitsplan des polnischen Botschafters für 2023 erfahren möchten. Sein Auftritt fällt mit dem Besuch von Botschafter Marek Magierowski in den USA und seiner Rede am 2. Februar zusammen, in der er über den Krieg in der Ukraine sprach. Ein anderer Köder verwendet legitime Systeme, die in EU-Ländern für den Informationsaustausch und die sichere Datenübertragung verwendet werden. LegisWrite ist beispielsweise ein Bearbeitungsprogramm, das den sicheren Austausch von Dokumenten zwischen EU-Regierungen ermöglicht.
Die Tatsache, dass LegisWrite in der bösartigen E-Mail verwendet wird, weist darauf hin Eindringlinge richtet sich speziell an staatliche Organisationen innerhalb der Europäischen Union. Eine weitere Analyse der schädlichen HTML-Datei ergab, dass es sich um eine Version des NOBELIUM-Droppers handelt, der als ROOTSAW und EnvyScout bekannt ist.
Die Aktionskette führt zum Download einer Datei namens BugSplatRc64.dll, deren Zweck es ist, Informationen über das infizierte System zu stehlen, wie beispielsweise den Benutzernamen und die IP-Adresse des Besitzers. Diese Daten werden verwendet, um eine eindeutige Opferkennung zu generieren, die dann an den Command-and-Control-Server (C2) gesendet wird.
Auch interessant:
Die Malware-Bereitstellung dieser Kampagne basiert auf der Verwendung einer alten Netzwerkinfrastruktur, die von APT29 kompromittiert wurde. Die Verwendung eines kompromittierten legitimen Servers zum Hosten versteckter Malware erhöht die Chancen einer erfolgreichen Installation auf Computern der Opfer.
Basierend auf der aktuellen Situation im Zusammenhang mit Russlands Krieg gegen die Ukraine, dem Besuch des polnischen Botschafters in den USA und seinen Gesprächen über den Krieg sowie dem Missbrauch des Online-Systems, das für den Austausch von Dokumenten innerhalb der Europäischen Union verwendet wird, urteilen BlackBerry-Experten kam zu dem Schluss, dass die NOBELIUM-Kampagne auf westliche Länder abzielt, die der Ukraine Hilfe leisten.
Lesen Sie auch: