Kelompok NOBELIUM, juga dikenal sebagai APT29, adalah aktor ancaman yang terkait dengan pemerintah Rusia dan Badan Intelijen Luar Negeri Rusia yang menargetkan negara-negara Barat. Baru-baru ini, peneliti BlackBerry merekam yang baru kampanye, yang ditujukan ke negara-negara Uni Eropa, khususnya, ke lembaga dan sistem diplomatik mereka yang mengirimkan informasi rahasia tentang politik kawasan, membantu warga Ukraina yang melarikan diri dari negara karena perang, dan pemerintah Ukraina.
Kampanye NOBELIUM baru menciptakan umpan bagi mereka yang tertarik dengan kunjungan Kementerian Luar Negeri Polandia baru-baru ini ke AS dan secara aktif menggunakan sistem pertukaran dokumen resmi secara elektronik di EU LegisWrite.
Grup APT29 menjadi berita utama internasional pada Desember 2020 ketika serangan rantai pasokan tingkat tinggi meng-trojanisasi pembaruan perangkat lunak SolarWinds Orien. Itu menginfeksi ribuan pengguna dengan menyebarkan pintu belakang yang disebut SunBurst. Secara historis, NOBELIUM telah menargetkan organisasi pemerintah dan non-pemerintah, analis, militer, penyedia layanan TI, teknologi dan penelitian medis, dan penyedia telekomunikasi.
Vektor infeksi untuk kampanye ini telah ditargetkan pengelabuan email dengan dokumen berbahaya yang berisi tautan untuk mengunduh file HTML. URL jahat dihosting di situs perpustakaan online yang sah, dan para ahli yakin penyerang telah mengkompromikannya antara akhir Januari 2023 dan awal Februari.
Salah satu link ditujukan bagi yang ingin mengetahui jadwal kerja Dubes Polandia tahun 2023. Penampilannya bertepatan dengan kunjungan Duta Besar Marek Magierowski ke AS dan pidatonya pada 2 Februari, di mana dia membahas perang di Ukraina. Umpan lain menggunakan sistem sah yang digunakan di negara-negara UE untuk pertukaran informasi dan transfer data yang aman. Misalnya, LegisWrite adalah program pengeditan yang memungkinkan pertukaran dokumen yang aman antara pemerintah UE.
Fakta bahwa LegisWrite digunakan dalam email berbahaya menunjukkan hal itu penyusup ditujukan khusus untuk organisasi negara di dalam Uni Eropa. Analisis lebih lanjut dari file HTML berbahaya mengungkapkan bahwa itu adalah versi dropper NOBELIUM yang dikenal sebagai ROOTSAW dan EnvyScout.
Rangkaian tindakan mengarah pada pengunduhan file bernama BugSplatRc64.dll, yang tujuannya adalah untuk mencuri informasi tentang sistem yang terinfeksi, seperti nama pengguna dan alamat IP pemiliknya. Data ini digunakan untuk menghasilkan pengidentifikasi korban unik, yang kemudian dikirim ke server perintah dan kontrol (C2).
Juga menarik:
Pengiriman malware dari kampanye ini didasarkan pada penggunaan infrastruktur jaringan lama yang telah disusupi oleh APT29. Menggunakan server sah yang disusupi untuk menghosting malware tersembunyi meningkatkan kemungkinan pemasangan yang berhasil di komputer korban.
Berdasarkan situasi terkini terkait perang Rusia melawan Ukraina, kunjungan duta besar Polandia untuk AS dan pembicaraannya tentang perang, serta penyalahgunaan sistem online yang digunakan untuk pertukaran dokumen di dalam Uni Eropa, pakar BlackBerry menyimpulkan bahwa kampanye NOBELIUM menargetkan ada negara-negara Barat yang memberikan bantuan kepada Ukraina.
Baca juga: