Grupa NOBELIUM, također poznata kao APT29, prijetnja je povezana s ruskom vladom i Ruskom vanjskom obavještajnom službom koja cilja na zapadne zemlje. Nedavno su istraživači BlackBerryja snimili novu kampanja, koji je bio usmjeren na zemlje Europske unije, posebice na njihove diplomatske institucije i sustave koji prenose povjerljive informacije o politici regije, pomažu Ukrajincima koji bježe iz zemlje zbog rata te ukrajinskoj vladi.
Nova kampanja NOBELIUM stvara mamac za one koji su zainteresirani za nedavni posjet poljskog Ministarstva vanjskih poslova Sjedinjene Države te aktivno koristi elektronički sustav razmjene službenih dokumenata u EU LegisWrite.
Grupa APT29 dospjela je na međunarodne naslovnice još u prosincu 2020. kada je napad na opskrbni lanac na visokoj razini trojanizirao ažuriranje softvera SolarWinds Orien. Zarazio je tisuće korisnika šireći backdoor nazvan SunBurst. Povijesno gledano, NOBELIUM je ciljao na vladine i nevladine organizacije, analitičare, vojsku, pružatelje IT usluga, medicinsku tehnologiju i istraživanje te pružatelje telekomunikacijskih usluga.
Vektor infekcije za ovu kampanju bio je ciljan phishing e-pošta sa zlonamjernim dokumentom koji sadrži poveznicu za preuzimanje HTML datoteke. Zlonamjerni URL-ovi bili su smješteni na legitimnoj internetskoj knjižnici, a stručnjaci vjeruju da su je napadači ugrozili negdje između kraja siječnja 2023. i početka veljače.
Jedna od poveznica namijenjena je onima koji žele znati raspored rada veleposlanika Poljske za 2023. godinu. Njegovo pojavljivanje koincidira s posjetom veleposlanika Mareka Magierowskog SAD-u i njegovim govorom 2. veljače, gdje je govorio o ratu u Ukrajini. Drugi mamac koristi legitimne sustave koji se koriste u zemljama EU za razmjenu informacija i siguran prijenos podataka. Na primjer, LegisWrite je program za uređivanje koji omogućuje sigurnu razmjenu dokumenata između vlada EU-a.
Činjenica da se LegisWrite koristi u zlonamjernoj e-pošti ukazuje na to uljezi usmjerena posebno na državne organizacije unutar Europske unije. Daljnjom analizom zlonamjerne HTML datoteke otkriveno je da se radi o verziji NOBELIUM droppera poznatoj kao ROOTSAW i EnvyScout.
Lanac radnji vodi do preuzimanja datoteke pod nazivom BugSplatRc64.dll, čija je svrha krađa informacija o zaraženom sustavu, poput korisničkog imena i IP adrese vlasnika. Ovi se podaci koriste za generiranje jedinstvenog identifikatora žrtve, koji se zatim šalje poslužitelju za naredbe i kontrolu (C2).
Također zanimljivo:
Isporuka zlonamjernog softvera ove kampanje temelji se na korištenju naslijeđene mrežne infrastrukture koju je APT29 ugrozio. Korištenje kompromitiranog legitimnog poslužitelja za hostiranje skrivenog zlonamjernog softvera povećava šanse za uspješnu instalaciju na računala žrtve.
Na temelju aktualne situacije vezane uz rat Rusije protiv Ukrajine, posjeta poljskog veleposlanika SAD-u i njegovih razgovora o ratu, kao i zlouporabe online sustava koji se koristi za razmjenu dokumenata unutar Europske unije, BlackBerry stručnjaci zaključio da je kampanja NOBELIUM usmjerena na zapadne zemlje koje pružaju pomoć Ukrajini.
Pročitajte također: