NOBELIUM-gruppen, även känd som APT29, är en hotaktör kopplad till den ryska regeringen och den ryska utrikesunderrättelsetjänsten som riktar sig mot västländer. Nyligen spelade BlackBerry-forskare in en ny kampanj, som riktade sig till länderna i Europeiska unionen, i synnerhet mot deras diplomatiska institutioner och system som överför konfidentiell information om politiken i regionen, hjälper ukrainare att fly landet på grund av kriget, och den ukrainska regeringen.
Den nya NOBELIUM-kampanjen skapar lockbete för dem som är intresserade av det polska utrikesministeriets senaste besök i USA och använder aktivt det elektroniska systemet för utbyte av officiella dokument i EU LegisWrite.
APT29-gruppen skapade internationella rubriker redan i december 2020 när en försörjningskedja på hög nivå trojaniserade en SolarWinds Orien-programuppdatering. Det infekterade tusentals användare genom att sprida en bakdörr som heter SunBurst. Historiskt sett har NOBELIUM riktat sig mot statliga och icke-statliga organisationer, analytiker, militären, IT-tjänsteleverantörer, medicinsk teknik och forskning samt telekommunikationsleverantörer.
Infektionsvektorn för denna kampanj var inriktad nätfiske ett e-postmeddelande med ett skadligt dokument som innehåller en länk för att ladda ner en HTML-fil. De skadliga webbadresserna hölls på en legitim onlinebibliotekswebbplats, och experter tror att angriparna äventyrade den någon gång mellan slutet av januari 2023 och början av februari.
En av länkarna riktar sig till dem som vill veta arbetsschemat för Polens ambassadör för 2023. Hans framträdande sammanfaller med ambassadör Marek Magierowskis besök i USA och hans tal den 2 februari, där han diskuterade kriget i Ukraina. Ett annat lockbete använder legitima system som används i EU-länder för informationsutbyte och säker dataöverföring. Till exempel är LegisWrite ett redigeringsprogram som möjliggör säkert utbyte av dokument mellan EU:s regeringar.
Det faktum att LegisWrite används i det skadliga e-postmeddelandet indikerar det inkräktare riktar sig specifikt till statliga organisationer inom Europeiska unionen. Ytterligare analys av den skadliga HTML-filen visade att det är en version av NOBELIUM dropper känd som ROOTSAW och EnvyScout.
Åtgärdskedjan leder till nedladdningen av en fil som heter BugSplatRc64.dll, vars syfte är att stjäla information om det infekterade systemet, såsom användarnamn och IP-adress för ägaren. Dessa data används för att generera en unik offeridentifierare, som sedan skickas till kommando- och kontrollservern (C2).
Också intressant:
Leveransen av skadlig programvara för denna kampanj är baserad på användningen av äldre nätverksinfrastruktur som har äventyrats av APT29. Att använda en komprometterad legitim server för att vara värd för dold skadlig programvara ökar chanserna för framgångsrik installation på datorer offer.
Baserat på den aktuella situationen i samband med Rysslands krig mot Ukraina, besöket av den polska ambassadören i USA och hans samtal om kriget, samt missbruket av onlinesystemet som används för utbyte av dokument inom EU, säger BlackBerry-experter drog slutsatsen att NOBELIUM-kampanjen är inriktad på att det finns västländer som ger hjälp till Ukraina.
Läs också: