Grupul NOBELIUM, cunoscut și sub numele de APT29, este un actor de amenințare legat de guvernul rus și de Serviciul rus de informații externe care vizează țările occidentale. Recent, cercetătorii BlackBerry au înregistrat unul nou campanie, care a vizat țările Uniunii Europene, în special, instituțiile și sistemele lor diplomatice care transmit informații confidențiale despre politica din regiune, ajută ucrainenii care fug din țară din cauza războiului și guvernul ucrainean.
Noua campanie NOBELIUM creează momeală pentru cei interesați de recenta vizită a Ministerului polonez al Afacerilor Externe la Statele Unite ale Americii și utilizează în mod activ sistemul electronic de schimb de documente oficiale din LegisWrite UE.
Grupul APT29 a făcut titluri internaționale în decembrie 2020, când un atac la nivel înalt al lanțului de aprovizionare a troianizat o actualizare a software-ului SolarWinds Orien. A infectat mii de utilizatori prin răspândirea unei uși din spate numită SunBurst. Din punct de vedere istoric, NOBELIUM a vizat organizații guvernamentale și neguvernamentale, analiști, armata, furnizori de servicii IT, tehnologie și cercetare medicală și furnizori de telecomunicații.
Vectorul de infecție pentru această campanie a fost vizat phishing un e-mail cu un document rău intenționat care conține un link pentru a descărca un fișier HTML. Adresele URL rău intenționate au fost găzduite pe un site legitim de bibliotecă online, iar experții cred că atacatorii l-au compromis cândva între sfârșitul lunii ianuarie 2023 și începutul lunii februarie.
Unul dintre link-uri se adresează celor care doresc să cunoască programul de lucru al ambasadorului Poloniei pentru 2023. Apariția sa coincide cu vizita ambasadorului Marek Magierowski în SUA și cu discursul din 2 februarie, unde a discutat despre războiul din Ucraina. O altă momeală folosește sisteme legitime utilizate în țările UE pentru schimbul de informații și transferul securizat de date. De exemplu, LegisWrite este un program de editare care permite schimbul securizat de documente între guvernele UE.
Faptul că LegisWrite este folosit în e-mailurile rău intenționate indică acest lucru intruși care vizează în mod specific organizaţiile de stat din cadrul Uniunii Europene. O analiză ulterioară a fișierului HTML rău intenționat a arătat că este o versiune a dropper-ului NOBELIUM cunoscută sub numele de ROOTSAW și EnvyScout.
Lanțul de acțiuni duce la descărcarea unui fișier numit BugSplatRc64.dll, al cărui scop este să fure informații despre sistemul infectat, cum ar fi numele de utilizator și adresa IP a proprietarului. Aceste date sunt folosite pentru a genera un identificator unic al victimei, care este apoi trimis către serverul de comandă și control (C2).
Interesant de asemenea:
Livrarea programelor malware a acestei campanii se bazează pe utilizarea unei infrastructuri de rețea vechi care a fost compromisă de APT29. Utilizarea unui server legitim compromis pentru a găzdui malware ascuns crește șansele de instalare cu succes pe computere victime.
Pe baza situației actuale legate de războiul Rusiei împotriva Ucrainei, vizita ambasadorului polonez în SUA și discuțiile sale despre război, precum și abuzul sistemului online utilizat pentru schimbul de documente în cadrul Uniunii Europene, experții BlackBerry. a concluzionat că campania NOBELIUM vizează că există țări occidentale care oferă ajutor Ucrainei.
Citeste si: