A NOBELIUM csoport, más néven APT29, az orosz kormánnyal és az Orosz Külföldi Hírszerző Szolgálattal kapcsolatban álló fenyegetést jelentő szereplő, amely nyugati országokat céloz meg. Nemrég a BlackBerry kutatói újat rögzítettek kampány, amely az Európai Unió országait célozta meg, különös tekintettel azok diplomáciai intézményeire és rendszereire, amelyek a térség politikájáról bizalmas információkat továbbítanak, segítik a háború miatt az országból elmenekült ukránokat, valamint az ukrán kormányt.
Az új NOBELIUM kampány csalit a lengyel külügyminisztérium legutóbbi látogatása iránt érdeklődők számára. USA és aktívan használja az EU LegisWrite hivatalos iratok cseréjének elektronikus rendszerét.
Az APT29 csoport még 2020 decemberében került a nemzetközi hírlapok közé, amikor egy magas szintű ellátási lánc támadás trójaivá tette a SolarWinds Orien szoftverfrissítést. Felhasználók ezreit fertőzte meg a SunBurst nevű hátsó ajtó elterjesztésével. Történelmileg a NOBELIUM kormányzati és nem kormányzati szervezeteket, elemzőket, katonaságot, informatikai szolgáltatókat, orvosi technológiai és kutatási, valamint távközlési szolgáltatókat célzott meg.
A kampány fertőzési vektorát célozták meg adathalászat egy rosszindulatú dokumentumot tartalmazó e-mail, amely egy HTML-fájl letöltésére szolgáló hivatkozást tartalmaz. A rosszindulatú URL-eket egy legitim online könyvtári webhely tárolta, és a szakértők úgy vélik, hogy a támadók valamikor 2023. január vége és február eleje között kompromittálták.
Az egyik link azoknak szól, akik szeretnék megismerni Lengyelország nagykövetének 2023-as munkarendjét. Megjelenése egybeesik Marek Magierowski nagykövet amerikai látogatásával és február 2-i beszédével, ahol az ukrajnai háborúról tárgyalt. Egy másik csali az EU-országokban használt legális rendszereket használ információcserére és biztonságos adattovábbításra. Például a LegisWrite egy szerkesztőprogram, amely lehetővé teszi az EU kormányai közötti biztonságos dokumentumcserét.
Az a tény, hogy a LegisWrite-ot használják a rosszindulatú e-mailekben, azt jelzi behatolók kifejezetten az Európai Unión belüli állami szervezeteket célozza meg. A rosszindulatú HTML-fájl további elemzése feltárta, hogy ez a NOBELIUM dropper egyik verziója, amely ROOTSAW és EnvyScout néven ismert.
A műveletek láncolata egy BugSplatRc64.dll nevű fájl letöltéséhez vezet, amelynek célja a fertőzött rendszerrel kapcsolatos információk ellopása, például a tulajdonos felhasználóneve és IP-címe. Ezeket az adatokat egy egyedi áldozatazonosító generálására használják, amelyet azután elküldenek a parancs- és vezérlőszervernek (C2).
Szintén érdekes:
Ennek a kampánynak a rosszindulatú programozása az APT29 által veszélyeztetett régi hálózati infrastruktúra használatán alapul. Egy feltört, legitim szerver használata rejtett kártevők tárolására növeli a sikeres telepítés esélyét a számítógépekre áldozatok.
Az Oroszország Ukrajna elleni háborújával kapcsolatos jelenlegi helyzet, a lengyel amerikai nagykövet látogatása és a háborúról szóló megbeszélései, valamint az Európai Unión belüli iratcserére használt online rendszerrel való visszaélés alapján a BlackBerry szakértői. arra a következtetésre jutott, hogy a NOBELIUM kampány olyan nyugati országokat céloz meg, amelyek segítséget nyújtanak Ukrajnának.
Olvassa el még: