Група НОБЕЛИУМ, позната и као АПТ29, представља претњу повезану са руском владом и руском спољном обавештајном службом која циља западне земље. Недавно су БлацкБерри истраживачи снимили нову кампања, који је био усмерен на земље Европске уније, посебно на њихове дипломатске институције и системе који преносе поверљиве информације о политици региона, помажу Украјинцима који беже из земље због рата и украјинској влади.
Нова кампања НОБЕЛИЈУМА ствара мамац за оне који су заинтересовани за недавну посету пољског Министарства спољних послова САД и активно користи електронски систем размене званичних докумената у ЕУ ЛегисВрите.
Група АПТ29 доспела је на међународне наслове још у децембру 2020. када је напад на ланац снабдевања на високом нивоу тројанизирао ажурирање софтвера СоларВиндс Ориен. Заразио је хиљаде корисника ширењем бацкдоор-а под називом СунБурст. Историјски гледано, НОБЕЛИУМ је циљао владине и невладине организације, аналитичаре, војску, пружаоце ИТ услуга, медицинску технологију и истраживање, и телекомуникационе провајдере.
Вектор инфекције за ову кампању је био циљан пхисхинг имејл са злонамерним документом који садржи везу за преузимање ХТМЛ датотеке. Злонамерни УРЛ-ови су били хостовани на легитимном сајту библиотеке на мрежи, а стручњаци верују да су га нападачи компромитовали негде између краја јануара 2023. и почетка фебруара.
Један од линкова је намењен онима који желе да знају распоред рада амбасадора Пољске за 2023. годину. Његово појављивање поклапа се са посетом амбасадора Марека Магиеровског САД и његовим говором 2. фебруара, где је разговарао о рату у Украјини. Други мамац користи легитимне системе који се користе у земљама ЕУ за размену информација и сигуран пренос података. На пример, ЛегисВрите је програм за уређивање који омогућава безбедну размену докумената између влада ЕУ.
Чињеница да се ЛегисВрите користи у злонамерној е-пошти указује на то уљези усмерена посебно на државне организације у оквиру Европске уније. Даља анализа злонамерне ХТМЛ датотеке открила је да се ради о верзији НОБЕЛИУМ дроппера познатог као РООТСАВ и ЕнвиСцоут.
Ланац радњи доводи до преузимања датотеке под називом БугСплатРц64.длл, чија је сврха крађа информација о зараженом систему, као што су корисничко име и ИП адреса власника. Ови подаци се користе за генерисање јединственог идентификатора жртве, који се затим шаље на командни и контролни сервер (Ц2).
Такође занимљиво:
Испорука злонамерног софтвера ове кампање заснива се на коришћењу старе мрежне инфраструктуре коју је компромитовао АПТ29. Коришћење компромитованог легитимног сервера за хостовање скривеног малвера повећава шансе за успешну инсталацију на рачунарима жртве.
На основу актуелне ситуације у вези са ратом Русије против Украјине, посетом пољског амбасадора САД и његовим разговорима о рату, као и злоупотребом онлајн система који се користи за размену докумената унутар Европске уније, стручњаци БлацкБерри-а закључио да кампања НОБЕЛИЈУМА циља на западне земље које пружају помоћ Украјини.
Прочитајте такође: