NOBELIUM grupuotė, dar žinoma kaip APT29, yra grėsmės veikėja, susijusi su Rusijos vyriausybe ir Rusijos užsienio žvalgybos tarnyba, kuri nusitaikė į Vakarų šalis. Neseniai BlackBerry mokslininkai užfiksavo naują kampanija, kuris buvo skirtas Europos Sąjungos šalims, ypač jų diplomatinėms institucijoms ir sistemoms, kurios perduoda konfidencialią informaciją apie regiono politiką, padeda dėl karo iš šalies bėgantiems ukrainiečiams, Ukrainos vyriausybei.
Nauja kampanija NOBELIUM sukuria masalą tiems, kurie domisi neseniai vykusiu Lenkijos užsienio reikalų ministerijos vizitu. JAV ir aktyviai naudojasi elektronine keitimosi oficialiais dokumentais ES LegisWrite sistema.
Grupė APT29 pateko į tarptautines antraštes dar 2020 m. gruodžio mėn., kai aukšto lygio tiekimo grandinės ataka Trojanizavo „SolarWinds Orien“ programinės įrangos naujinį. Ji užkrėtė tūkstančius vartotojų, išplatindama užpakalines duris, pavadintą SunBurst. Istoriškai NOBELIUM buvo nukreiptas į vyriausybines ir nevyriausybines organizacijas, analitikus, kariuomenę, IT paslaugų teikėjus, medicinos technologijas ir tyrimus bei telekomunikacijų tiekėjus.
Šios kampanijos infekcijos vektorius buvo skirtas sukčiavimas el. laišką su kenkėjišku dokumentu, kuriame yra nuoroda į HTML failo atsisiuntimą. Kenkėjiški URL buvo priglobti teisėtoje internetinės bibliotekos svetainėje, o ekspertai mano, kad užpuolikai jai pakenkė nuo 2023 m. sausio pabaigos iki vasario pradžios.
Viena iš nuorodų skirta tiems, kurie nori sužinoti Lenkijos ambasadoriaus darbo grafiką 2023 metams. Jo pasirodymas sutampa su ambasadoriaus Mareko Magierowskio vizitu JAV ir vasario 2-osios kalba, kurioje jis aptarė karą Ukrainoje. Kitas apgaulėlis naudoja teisėtas ES šalyse naudojamas sistemas keistis informacija ir saugiai perduoti duomenis. Pavyzdžiui, „LegisWrite“ yra redagavimo programa, leidžianti saugiai keistis dokumentais tarp ES vyriausybių.
Tai rodo, kad „LegisWrite“ naudojamas kenkėjiškame el. laiške įsibrovėlių skirta būtent valstybinėms organizacijoms Europos Sąjungoje. Tolesnė kenkėjiško HTML failo analizė atskleidė, kad tai yra NOBELIUM lašintuvo, žinomo kaip ROOTSAW ir EnvyScout, versija.
Veiksmų grandinė veda į failo, pavadinto BugSplatRc64.dll, atsisiuntimą, kurio tikslas yra pavogti informaciją apie užkrėstą sistemą, pvz., vartotojo vardą ir savininko IP adresą. Šie duomenys naudojami sukurti unikalų aukos identifikatorių, kuris vėliau siunčiamas į komandų ir valdymo serverį (C2).
Taip pat įdomu:
Šios kampanijos kenkėjiškų programų pristatymas pagrįstas senos tinklo infrastruktūros, kuri buvo pažeista APT29, naudojimu. Naudojant pažeistą teisėtą serverį paslėptoms kenkėjiškoms programoms priglobti, padidėja sėkmingo diegimo kompiuteriuose tikimybė aukos.
Atsižvelgdami į esamą situaciją, susijusią su Rusijos karu prieš Ukrainą, Lenkijos ambasadoriaus JAV vizitu ir kalbomis apie karą, taip pat piktnaudžiavimu elektronine sistema, naudojama keičiantis dokumentais Europos Sąjungoje, „BlackBerry“ ekspertai. padarė išvadą, kad NOBELIUM kampanija yra nukreipta į Vakarų šalis, kurios teikia pagalbą Ukrainai.
Taip pat skaitykite: