Donderdag 28 maart 2024

bureaublad v4.2.1

Root NationНовиниIT-nieuwsRussische NOBELIUM-hackers richtten zich op EU-regeringen die Oekraïne helpen

Russische NOBELIUM-hackers richtten zich op EU-regeringen die Oekraïne helpen

-

De NOBELIUM-groep, ook bekend als APT29, is een dreigingsacteur die banden heeft met de Russische regering en de Russische buitenlandse inlichtingendienst die zich richt op westerse landen. Onlangs hebben BlackBerry-onderzoekers een nieuwe geregistreerd campagne, dat gericht was op de landen van de Europese Unie, in het bijzonder op hun diplomatieke instellingen en systemen die vertrouwelijke informatie over de politiek van de regio doorgeven, Oekraïners helpen het land te ontvluchten vanwege de oorlog, en de Oekraïense regering.

De nieuwe NOBELIUM-campagne creëert aas voor diegenen die geïnteresseerd zijn in het recente bezoek van het Poolse ministerie van Buitenlandse Zaken aan Verenigde Staten van Amerika en maakt actief gebruik van het elektronische systeem voor de uitwisseling van officiële documenten in de EU LegisWrite.

Cyber ​​aanval

De APT29-groep haalde in december 2020 internationale krantenkoppen toen een aanval op de toeleveringsketen op hoog niveau een software-update van SolarWinds Orien trojante. Het infecteerde duizenden gebruikers door een achterdeur genaamd SunBurst te verspreiden. Historisch gezien heeft NOBELIUM zich gericht op overheids- en niet-gouvernementele organisaties, analisten, het leger, IT-dienstverleners, medische technologie en onderzoek, en telecommunicatieproviders.

De infectievector voor deze campagne was gericht phishing een e-mail met een kwaadaardig document dat een link bevat om een ​​HTML-bestand te downloaden. De kwaadaardige URL's werden gehost op een legitieme online bibliotheeksite en experts denken dat de aanvallers deze ergens tussen eind januari 2023 en begin februari hebben gecompromitteerd.

Een van de links is bedoeld voor degenen die het werkschema van de ambassadeur van Polen voor 2023 willen weten. Zijn optreden valt samen met het bezoek van ambassadeur Marek Magierowski aan de VS en zijn toespraak op 2 februari, waar hij de oorlog in Oekraïne besprak. Een andere lokvogel maakt gebruik van legitieme systemen die in EU-landen worden gebruikt voor informatie-uitwisseling en veilige gegevensoverdracht. LegisWrite is bijvoorbeeld een bewerkingsprogramma dat de veilige uitwisseling van documenten tussen EU-regeringen mogelijk maakt.

Russische NOBELIUM-hackers richtten zich op EU-regeringen die Oekraïne helpen

Het feit dat LegisWrite wordt gebruikt in de kwaadaardige e-mail geeft dat aan indringers specifiek gericht op staatsorganisaties binnen de Europese Unie. Nadere analyse van het schadelijke HTML-bestand onthulde dat het een versie is van de NOBELIUM-dropper die bekend staat als ROOTSAW en EnvyScout.

De keten van acties leidt tot het downloaden van een bestand met de naam BugSplatRc64.dll, met als doel informatie over het geïnfecteerde systeem te stelen, zoals de gebruikersnaam en het IP-adres van de eigenaar. Deze gegevens worden gebruikt om een ​​unieke slachtofferidentificatie te genereren, die vervolgens naar de command and control server (C2) wordt gestuurd.

Ook interessant:

De levering van malware van deze campagne is gebaseerd op het gebruik van verouderde netwerkinfrastructuur die is aangetast door APT29. Het gebruik van een gecompromitteerde legitieme server om verborgen malware te hosten, vergroot de kans op een succesvolle installatie op computers slachtoffers.

Op basis van de huidige situatie met betrekking tot de oorlog van Rusland tegen Oekraïne, het bezoek van de Poolse ambassadeur aan de VS en zijn toespraken over de oorlog, evenals het misbruik van het online systeem dat wordt gebruikt voor de uitwisseling van documenten binnen de Europese Unie, stellen BlackBerry-experts concludeerde dat de NOBELIUM-campagne zich richt op westerse landen die hulp bieden aan Oekraïne.

Lees ook:

bronbraam
Aanmelden
Informeer over
gast

0 Heb je vragen? Stel ze hier.
Ingesloten beoordelingen
Bekijk alle reacties
Andere artikelen
Schrijf je in voor updates

Recent commentaar

Nu populair
0
We houden van uw mening, geef alstublieft commentaar.x