Η ομάδα NOBELIUM, γνωστή και ως APT29, είναι ένας παράγοντας απειλής που συνδέεται με τη ρωσική κυβέρνηση και τη ρωσική Υπηρεσία Εξωτερικών Πληροφοριών που στοχεύει δυτικές χώρες. Πρόσφατα, οι ερευνητές του BlackBerry κατέγραψαν ένα νέο καμπάνια, το οποίο στόχευε στις χώρες της Ευρωπαϊκής Ένωσης, ιδίως στα διπλωματικά τους ιδρύματα και συστήματα που μεταδίδουν εμπιστευτικές πληροφορίες για την πολιτική της περιοχής, βοηθούν τους Ουκρανούς που εγκαταλείπουν τη χώρα λόγω του πολέμου, και την ουκρανική κυβέρνηση.
Η νέα καμπάνια NOBELIUM δημιουργεί δόλωμα για όσους ενδιαφέρονται για την πρόσφατη επίσκεψη του Πολωνικού Υπουργείου Εξωτερικών στο ΗΠΑ και χρησιμοποιεί ενεργά το ηλεκτρονικό σύστημα ανταλλαγής επίσημων εγγράφων στο EU LegisWrite.
Ο όμιλος APT29 έγινε διεθνής πρωτοσέλιδος τον Δεκέμβριο του 2020, όταν μια επίθεση στην αλυσίδα εφοδιασμού υψηλού επιπέδου κατέστησε trojanized μια ενημέρωση λογισμικού SolarWinds Orien. Μόλυνσε χιλιάδες χρήστες διαδίδοντας μια κερκόπορτα που ονομάζεται SunBurst. Ιστορικά, το NOBELIUM έχει στοχεύσει κυβερνητικούς και μη κυβερνητικούς οργανισμούς, αναλυτές, στρατό, παρόχους υπηρεσιών πληροφορικής, ιατρική τεχνολογία και έρευνα και παρόχους τηλεπικοινωνιών.
Ο φορέας μόλυνσης για αυτήν την καμπάνια ήταν στοχευμένος phishing ένα μήνυμα ηλεκτρονικού ταχυδρομείου με ένα κακόβουλο έγγραφο που περιέχει έναν σύνδεσμο για τη λήψη ενός αρχείου HTML. Οι κακόβουλες διευθύνσεις URL φιλοξενήθηκαν σε έναν νόμιμο ιστότοπο ηλεκτρονικής βιβλιοθήκης και οι ειδικοί πιστεύουν ότι οι επιτιθέμενοι το παραβίασαν κάποια στιγμή από τα τέλη Ιανουαρίου 2023 έως τις αρχές Φεβρουαρίου.
Ένας από τους συνδέσμους απευθύνεται σε όσους θέλουν να γνωρίζουν το πρόγραμμα εργασίας του πρέσβη της Πολωνίας για το 2023. Η εμφάνισή του συμπίπτει με την επίσκεψη του Πρέσβη Μάρεκ Μαγιερόφσκι στις ΗΠΑ και την ομιλία του στις 2 Φεβρουαρίου, όπου συζήτησε για τον πόλεμο στην Ουκρανία. Ένα άλλο δόλωμα χρησιμοποιεί νόμιμα συστήματα που χρησιμοποιούνται στις χώρες της ΕΕ για ανταλλαγή πληροφοριών και ασφαλή μεταφορά δεδομένων. Για παράδειγμα, το LegisWrite είναι ένα πρόγραμμα επεξεργασίας που επιτρέπει την ασφαλή ανταλλαγή εγγράφων μεταξύ των κυβερνήσεων της ΕΕ.
Το γεγονός ότι το LegisWrite χρησιμοποιείται στο κακόβουλο email υποδηλώνει αυτό εισβολείς που απευθύνονται ειδικά σε κρατικούς οργανισμούς εντός της Ευρωπαϊκής Ένωσης. Περαιτέρω ανάλυση του κακόβουλου αρχείου HTML αποκάλυψε ότι πρόκειται για μια έκδοση του σταγονόμετρου NOBELIUM που είναι γνωστό ως ROOTSAW και EnvyScout.
Η αλυσίδα των ενεργειών οδηγεί στη λήψη ενός αρχείου που ονομάζεται BugSplatRc64.dll, σκοπός του οποίου είναι η κλοπή πληροφοριών σχετικά με το μολυσμένο σύστημα, όπως το όνομα χρήστη και η διεύθυνση IP του κατόχου. Αυτά τα δεδομένα χρησιμοποιούνται για τη δημιουργία ενός μοναδικού αναγνωριστικού θύματος, το οποίο στη συνέχεια αποστέλλεται στον διακομιστή εντολών και ελέγχου (C2).
Επίσης ενδιαφέρον:
Η παράδοση κακόβουλου λογισμικού αυτής της καμπάνιας βασίζεται στη χρήση υποδομής δικτύου παλαιού τύπου που έχει παραβιαστεί από το APT29. Η χρήση ενός παραβιασμένου νόμιμου διακομιστή για τη φιλοξενία κρυφού κακόβουλου λογισμικού αυξάνει τις πιθανότητες επιτυχούς εγκατάστασης σε υπολογιστές θύματα.
Με βάση την τρέχουσα κατάσταση που σχετίζεται με τον πόλεμο της Ρωσίας κατά της Ουκρανίας, την επίσκεψη του Πολωνού πρέσβη στις ΗΠΑ και τις συνομιλίες του για τον πόλεμο, καθώς και την κατάχρηση του διαδικτυακού συστήματος που χρησιμοποιείται για την ανταλλαγή εγγράφων εντός της Ευρωπαϊκής Ένωσης, ειδικοί της BlackBerry κατέληξε στο συμπέρασμα ότι η εκστρατεία NOBELIUM στοχεύει εκεί δυτικές χώρες που παρέχουν βοήθεια στην Ουκρανία.
Διαβάστε επίσης: