NOBELIUM-gruppen, også kjent som APT29, er en trusselaktør knyttet til den russiske regjeringen og den russiske utenriksetterretningstjenesten som retter seg mot vestlige land. Nylig spilte BlackBerry-forskere inn en ny kampanje, som var rettet mot landene i Den europeiske union, spesielt mot deres diplomatiske institusjoner og systemer som overfører konfidensiell informasjon om politikken i regionen, hjelper ukrainere å flykte fra landet på grunn av krigen, og den ukrainske regjeringen.
Den nye NOBELIUM-kampanjen skaper lokkemat for de som er interessert i det nylige besøket fra det polske utenriksdepartementet til USA og bruker aktivt det elektroniske systemet for utveksling av offisielle dokumenter i EU LegisWrite.
APT29-gruppen skapte internasjonale overskrifter tilbake i desember 2020 da et forsyningskjedeangrep på høyt nivå trojaniserte en SolarWinds Orien-programvareoppdatering. Den infiserte tusenvis av brukere ved å spre en bakdør kalt SunBurst. Historisk sett har NOBELIUM rettet seg mot offentlige og ikke-statlige organisasjoner, analytikere, militæret, IT-tjenesteleverandører, medisinsk teknologi og forskning og telekommunikasjonsleverandører.
Infeksjonsvektoren for denne kampanjen ble målrettet phishing en e-post med et ondsinnet dokument som inneholder en lenke for å laste ned en HTML-fil. De ondsinnede nettadressene ble lagret på en legitim nettbibliotekside, og eksperter mener at angriperne kompromitterte den en gang mellom slutten av januar 2023 og begynnelsen av februar.
En av lenkene er rettet mot de som ønsker å vite arbeidsplanen til Polens ambassadør for 2023. Hans opptreden faller sammen med besøket av ambassadør Marek Magierowski i USA og hans tale 2. februar, hvor han diskuterte krigen i Ukraina. En annen lokkefugl bruker legitime systemer som brukes i EU-land for informasjonsutveksling og sikker dataoverføring. For eksempel er LegisWrite et redigeringsprogram som muliggjør sikker utveksling av dokumenter mellom EUs myndigheter.
Det faktum at LegisWrite brukes i den ondsinnede e-posten indikerer det inntrengere rettet spesielt mot statlige organisasjoner innenfor EU. Ytterligere analyse av den ondsinnede HTML-filen viste at det er en versjon av NOBELIUM dropper kjent som ROOTSAW og EnvyScout.
Handlingskjeden fører til nedlasting av en fil kalt BugSplatRc64.dll, hvis formål er å stjele informasjon om det infiserte systemet, for eksempel brukernavnet og IP-adressen til eieren. Disse dataene brukes til å generere en unik offeridentifikator, som deretter sendes til kommando- og kontrollserveren (C2).
Også interessant:
Skadevareleveringen til denne kampanjen er basert på bruk av eldre nettverksinfrastruktur som har blitt kompromittert av APT29. Å bruke en kompromittert legitim server for å være vert for skjult skadelig programvare øker sjansene for vellykket installasjon på datamaskiner ofre.
Basert på den nåværende situasjonen knyttet til Russlands krig mot Ukraina, besøket til den polske ambassadøren i USA og hans samtaler om krigen, samt misbruk av nettsystemet som brukes til utveksling av dokumenter innen EU, sier BlackBerry-eksperter konkluderte med at NOBELIUM-kampanjen er rettet mot det er vestlige land som gir bistand til Ukraina.
Les også: