Skupina NOBELIUM, známa aj ako APT29, je aktérom hrozby spojený s ruskou vládou a ruskou zahraničnou spravodajskou službou, ktorá sa zameriava na západné krajiny. Nedávno výskumníci BlackBerry zaznamenali nový kampaň, ktorá bola zameraná najmä na krajiny Európskej únie, najmä na ich diplomatické inštitúcie a systémy, ktoré prenášajú dôverné informácie o politike regiónu, pomáhajú Ukrajincom utekajúcim z krajiny pred vojnou a ukrajinskej vláde.
Nová kampaň NOBELIUM vytvára návnadu pre záujemcov o nedávnu návštevu poľského ministerstva zahraničných vecí na Spojené štáty americké a aktívne využíva elektronický systém výmeny úradných dokumentov v EÚ LegisWrite.
Skupina APT29 sa dostala na medzinárodné titulky už v decembri 2020, keď vysokoúrovňový útok na dodávateľský reťazec trojanizoval aktualizáciu softvéru SolarWinds Orien. Nakazila tisíce používateľov šírením backdoor s názvom SunBurst. Historicky sa NOBELIUM zameriavalo na vládne a mimovládne organizácie, analytikov, armádu, poskytovateľov IT služieb, medicínskej techniky a výskumu a poskytovateľov telekomunikácií.
Bol zameraný na vektor infekcie pre túto kampaň phishing e-mail so škodlivým dokumentom, ktorý obsahuje odkaz na stiahnutie súboru HTML. Škodlivé adresy URL boli hosťované na legitímnej webovej stránke online knižnice a odborníci sa domnievajú, že ju útočníci kompromitovali niekedy medzi koncom januára 2023 a začiatkom februára.
Jeden z odkazov je zameraný na tých, ktorí chcú poznať harmonogram práce veľvyslanca Poľska na rok 2023. Jeho vystúpenie sa zhoduje s návštevou veľvyslanca Mareka Magierowského v USA a jeho prejavom 2. februára, kde diskutoval o vojne na Ukrajine. Ďalšia návnada využíva legitímne systémy používané v krajinách EÚ na výmenu informácií a bezpečný prenos údajov. Napríklad LegisWrite je editačný program, ktorý umožňuje bezpečnú výmenu dokumentov medzi vládami EÚ.
Naznačuje to skutočnosť, že v škodlivom e-maile sa používa LegisWrite votrelci zamerané špeciálne na štátne organizácie v rámci Európskej únie. Ďalšia analýza škodlivého súboru HTML odhalila, že ide o verziu kvapkadla NOBELIUM známeho ako ROOTSAW a EnvyScout.
Reťazec akcií vedie k stiahnutiu súboru s názvom BugSplatRc64.dll, ktorého účelom je ukradnúť informácie o infikovanom systéme, ako je meno používateľa a IP adresa vlastníka. Tieto údaje sa používajú na vygenerovanie jedinečného identifikátora obete, ktorý sa potom odošle na príkazový a riadiaci server (C2).
Tiež zaujímavé:
Doručenie škodlivého softvéru tejto kampane je založené na použití starej sieťovej infraštruktúry, ktorá bola kompromitovaná APT29. Použitie kompromitovaného legitímneho servera na hosťovanie skrytého malvéru zvyšuje šance na úspešnú inštaláciu do počítačov obetí.
Na základe aktuálnej situácie súvisiacej s vojnou Ruska proti Ukrajine, návštevy poľského veľvyslanca v USA a jeho rozhovorov o vojne, ako aj zneužívania online systému používaného na výmenu dokumentov v rámci Európskej únie, experti BlackBerry dospel k záveru, že kampaň NOBELIUM sa zameriava na západné krajiny, ktoré poskytujú pomoc Ukrajine.
Prečítajte si tiež: