NOBELIUM-ryhmä, joka tunnetaan myös nimellä APT29, on Venäjän hallitukseen ja Venäjän ulkomaantiedustelupalveluun liittyvä uhkatoimija, joka kohdistuu länsimaihin. Äskettäin BlackBerry-tutkijat tallensivat uuden kampanja, joka oli suunnattu Euroopan unionin maille, erityisesti niiden diplomaattisille instituutioille ja järjestelmille, jotka välittävät luottamuksellista tietoa alueen politiikasta, auttavat maasta sodan takia pakenevia ukrainalaisia sekä Ukrainan hallitukselle.
Uusi NOBELIUM-kampanja luo syöttiä niille, joita kiinnostaa Puolan ulkoministeriön äskettäinen vierailu Yhdysvallat ja käyttää aktiivisesti EU:n LegisWriten virallisten asiakirjojen sähköistä vaihtojärjestelmää.
APT29-ryhmä nousi kansainvälisiin otsikoihin jo joulukuussa 2020, kun korkean tason toimitusketjuhyökkäys troijasi SolarWinds Orien -ohjelmistopäivityksen. Se tartutti tuhansia käyttäjiä levittämällä takaoven nimeltä SunBurst. Historiallisesti NOBELIUM on kohdistunut valtion ja kansalaisjärjestöjen, analyytikoiden, armeijan, IT-palveluntarjoajien, lääketieteellisen teknologian ja tutkimuksen sekä televiestintäpalvelujen tarjoajiin.
Tämän kampanjan tartuntavektori oli kohdistettu phishing sähköposti, jossa on haitallinen asiakirja, joka sisältää linkin HTML-tiedoston lataamiseen. Haitallisia URL-osoitteita isännöitiin laillisella verkkokirjastosivustolla, ja asiantuntijat uskovat, että hyökkääjät vaaransivat sen joskus tammikuun 2023 lopun ja helmikuun alun välillä.
Yksi linkeistä on suunnattu niille, jotka haluavat tietää Puolan suurlähettilään työaikataulun vuodelle 2023. Hänen esiintymisensä osuu samaan aikaan suurlähettiläs Marek Magierowskin vierailun USA:ssa ja helmikuun 2. päivänä pidetyn puheen kanssa, jossa hän keskusteli Ukrainan sodasta. Toinen houkutuslaite käyttää EU-maissa laillisia järjestelmiä tiedonvaihtoon ja turvalliseen tiedonsiirtoon. Esimerkiksi LegisWrite on muokkausohjelma, joka mahdollistaa turvallisen asiakirjojen vaihdon EU:n hallitusten välillä.
Se, että LegisWriteä käytetään haitallisessa sähköpostissa, osoittaa tämän tunkeilijat suunnattu erityisesti valtion järjestöille Euroopan unionissa. Haitallisen HTML-tiedoston lisäanalyysi paljasti, että se on versio NOBELIUM dropperista, joka tunnetaan nimellä ROOTSAW ja EnvyScout.
Toimintoketju johtaa BugSplatRc64.dll-nimisen tiedoston lataamiseen, jonka tarkoituksena on varastaa tietoja tartunnan saaneesta järjestelmästä, kuten omistajan käyttäjätunnus ja IP-osoite. Näitä tietoja käytetään yksilöllisen uhrin tunnisteen luomiseen, joka lähetetään sitten komento- ja ohjauspalvelimelle (C2).
Mielenkiintoista myös:
Tämän kampanjan haittaohjelmien jakelu perustuu vanhan verkkoinfrastruktuurin käyttöön, jonka APT29 on vaarantanut. Vaarallisen laillisen palvelimen käyttäminen piilotettujen haittaohjelmien isännöimiseen lisää onnistuneen asennuksen mahdollisuuksia tietokoneisiin uhrit.
BlackBerryn asiantuntijat pohjautuvat nykytilanteeseen liittyen Venäjän sotaan Ukrainaa vastaan, Puolan Yhdysvaltain-suurlähettilään vierailuun ja hänen keskusteluihinsa sodasta sekä Euroopan unionin sisäiseen asiakirjojen vaihtoon käytetyn verkkojärjestelmän väärinkäyttöön. totesi, että NOBELIUM-kampanja kohdistuu länsimaihin, jotka tarjoavat apua Ukrainalle.
Lue myös: