APT29 гэгддэг NOBELIUM бүлэглэл нь Оросын засгийн газар болон Оросын Гадаад тагнуулын албатай холбоотой, барууны орнуудыг чиглүүлдэг заналхийлэгч юм. Саяхан BlackBerry-ийн судлаачид шинэ бичлэг хийжээ кампанит ажилЕвропын холбооны улс орнууд, ялангуяа бүс нутгийн улс төрийн талаарх нууц мэдээллийг дамжуулдаг дипломат байгууллагууд, системүүд, дайны улмаас эх орноосоо дүрвэсэн украинчуудад туслах, Украины засгийн газарт чиглэсэн.
Шинэ NOBELIUM кампанит ажил нь Польшийн Гадаад хэргийн яамны саяхан хийсэн айлчлалыг сонирхож буй хүмүүст өгөөш болж байна. АНУ-ын ЕХ-ны LegisWrite дахь албан бичиг баримт солилцох цахим системийг идэвхтэй ашигладаг.
APT29 групп нь 2020 оны -р сард өндөр түвшний нийлүүлэлтийн сүлжээний халдлага нь SolarWinds Orien программ хангамжийн шинэчлэлтийг троян болгох үед олон улсын гарчиг болсон. Энэ нь SunBurst нэртэй арын хаалга тарааж олон мянган хэрэглэгчдэд халдварласан. Түүхийн хувьд NOBELIUM нь төрийн болон төрийн бус байгууллага, шинжээчид, цэрэг арми, мэдээллийн технологийн үйлчилгээ үзүүлэгч, эмнэлгийн технологи, судалгаа, харилцаа холбооны үйлчилгээ үзүүлэгчдийг онилдог.
Энэ кампанит ажлын халдварын векторыг онилсон фишинг HTML файлыг татаж авах холбоос агуулсан хортой баримт бичиг бүхий имэйл. Хортой URL-уудыг хууль ёсны онлайн номын сангийн сайтад байршуулсан бөгөөд 2023 оны -р сарын сүүлээс -р сарын эхээр халдагчид үүнийг эвдсэн гэж шинжээчид үзэж байна.
Холбоосуудын нэг нь Польшийн Элчин сайдын 2023 оны ажлын хуваарийг мэдэхийг хүссэн хүмүүст зориулагдсан болно. Түүний гадаад байдал Элчин сайд Марек Магиеровскийн АНУ-д хийсэн айлчлал болон хоёрдугаар сарын 2-нд Украины дайны талаар ярилцсан илтгэлтэй давхцаж байна. Өөр нэг заль мэх нь ЕХ-ны орнуудад мэдээлэл солилцох, аюулгүй өгөгдөл дамжуулахад ашигладаг хууль ёсны системийг ашигладаг. Жишээлбэл, LegisWrite нь ЕХ-ны засгийн газруудын хооронд баримт бичгийг аюулгүй солилцох боломжийг олгодог засварлах програм юм.
LegisWrite нь хортой имэйлд ашиглагдаж байгаа нь үүнийг харуулж байна халдагчид Европын Холбооны төрийн байгууллагуудад тусгайлан чиглэсэн. Хортой HTML файлын цаашдын шинжилгээгээр энэ нь ROOTSAW болон EnvyScout гэгддэг NOBELIUM дусаагуурын хувилбар болох нь тогтоогдсон.
Үйлдлийн гинжин хэлхээ нь BugSplatRc64.dll нэртэй файлыг татаж авахад хүргэдэг бөгөөд зорилго нь хэрэглэгчийн нэр, эзэмшигчийн IP хаяг зэрэг халдвар авсан системийн мэдээллийг хулгайлах явдал юм. Энэ өгөгдөл нь хохирогчийн өвөрмөц танигчийг үүсгэхэд ашиглагддаг бөгөөд дараа нь команд болон хяналтын сервер (C2) руу илгээгддэг.
Мөн сонирхолтой:
Энэхүү кампанит ажлын хортой програм хангамж нь APT29-ийн эвдэрсэн сүлжээний дэд бүтцийг ашиглахад үндэслэсэн болно. Нууцлагдсан хортой програмыг байршуулахын тулд эвдэрсэн хууль ёсны серверийг ашиглах нь компьютер дээр амжилттай суулгах боломжийг нэмэгдүүлдэг хохирогчид.
ОХУ-ын Украины эсрэг дайнтай холбоотой өнөөгийн нөхцөл байдал, Польшийн Элчин сайдын АНУ-д хийсэн айлчлал, дайны тухай яриа, Европын Холбооны хүрээнд бичиг баримт солилцох цахим системийг урвуулан ашигласан зэрэг дээр үндэслэн BlackBerry-ийн мэргэжилтнүүд NOBELIUM кампанит ажил нь Украинд тусламж үзүүлдэг барууны орнуудад чиглэж байна гэж дүгнэжээ.
Мөн уншина уу:
хариу үлдээх