กลุ่ม NOBELIUM หรือที่รู้จักในชื่อ APT29 เป็นผู้คุกคามที่เชื่อมโยงกับรัฐบาลรัสเซียและหน่วยข่าวกรองต่างประเทศของรัสเซียที่มีเป้าหมายเป็นประเทศตะวันตก เมื่อเร็ว ๆ นี้ นักวิจัยของ BlackBerry ได้บันทึกสิ่งใหม่ แคมเปญซึ่งมุ่งเป้าไปที่ประเทศต่างๆ ในสหภาพยุโรป โดยเฉพาะอย่างยิ่งที่สถาบันและระบบทางการทูตของตนที่ส่งข้อมูลลับเกี่ยวกับการเมืองของภูมิภาค ช่วยชาวยูเครนที่หลบหนีออกจากประเทศเนื่องจากสงคราม และรัฐบาลยูเครน
แคมเปญ NOBELIUM ใหม่สร้างเหยื่อล่อสำหรับผู้ที่สนใจในการเยือนโปแลนด์ของกระทรวงการต่างประเทศเมื่อเร็วๆ นี้ ประเทศสหรัฐอเมริกา และใช้ระบบอิเล็กทรอนิกส์ในการแลกเปลี่ยนเอกสารทางการใน EU LegisWrite อย่างแข็งขัน
กลุ่ม APT29 ได้พาดหัวข่าวไปต่างประเทศในเดือนธันวาคม 2020 เมื่อการโจมตีห่วงโซ่อุปทานระดับสูงทำลายการอัปเดตซอฟต์แวร์ SolarWinds Orien มันติดเชื้อผู้ใช้หลายพันคนโดยการแพร่กระจายแบ็คดอร์ที่เรียกว่า SunBurst ในอดีต NOBELIUM มีเป้าหมายที่รัฐบาลและองค์กรพัฒนาเอกชน นักวิเคราะห์ กองทัพ ผู้ให้บริการด้านไอที เทคโนโลยีทางการแพทย์และการวิจัย และผู้ให้บริการโทรคมนาคม
เวกเตอร์การติดเชื้อสำหรับแคมเปญนี้ตกเป็นเป้าหมาย ฟิชชิ่ง อีเมลที่มีเอกสารที่เป็นอันตรายซึ่งมีลิงก์สำหรับดาวน์โหลดไฟล์ HTML URL ที่เป็นอันตรายนั้นโฮสต์อยู่บนไซต์ห้องสมุดออนไลน์ที่ถูกต้องตามกฎหมาย และผู้เชี่ยวชาญเชื่อว่าผู้โจมตีอาจบุกรุกได้ระหว่างช่วงปลายเดือนมกราคม 2023 ถึงต้นเดือนกุมภาพันธ์
ลิงค์หนึ่งมุ่งเป้าไปที่ผู้ที่ต้องการทราบตารางการทำงานของเอกอัครราชทูตโปแลนด์ในปี 2023 การปรากฏตัวของเขาเกิดขึ้นพร้อมกับการมาเยือนของเอกอัครราชทูต Marek Magierowski ประจำสหรัฐอเมริกาและสุนทรพจน์ของเขาเมื่อวันที่ 2 กุมภาพันธ์ ซึ่งเขาได้กล่าวถึงสงครามในยูเครน อีกตัวล่อใช้ระบบที่ถูกต้องตามกฎหมายที่ใช้ในประเทศสหภาพยุโรปสำหรับการแลกเปลี่ยนข้อมูลและการถ่ายโอนข้อมูลที่ปลอดภัย ตัวอย่างเช่น LegisWrite เป็นโปรแกรมแก้ไขที่ช่วยให้สามารถแลกเปลี่ยนเอกสารระหว่างรัฐบาลสหภาพยุโรปได้อย่างปลอดภัย
ความจริงที่ว่า LegisWrite ถูกใช้ในอีเมลที่เป็นอันตรายบ่งชี้ว่า ผู้บุกรุก มุ่งเป้าไปที่องค์กรของรัฐในสหภาพยุโรปโดยเฉพาะ การวิเคราะห์เพิ่มเติมของไฟล์ HTML ที่เป็นอันตรายเปิดเผยว่าเป็นเวอร์ชั่นของ NOBELIUM dropper ที่รู้จักกันในชื่อ ROOTSAW และ EnvyScout
ห่วงโซ่ของการดำเนินการนำไปสู่การดาวน์โหลดไฟล์ที่เรียกว่า BugSplatRc64.dll ซึ่งมีวัตถุประสงค์เพื่อขโมยข้อมูลเกี่ยวกับระบบที่ติดไวรัส เช่น ชื่อผู้ใช้และที่อยู่ IP ของเจ้าของ ข้อมูลนี้ใช้เพื่อสร้างตัวระบุเหยื่อที่ไม่ซ้ำกัน ซึ่งจะถูกส่งไปยังเซิร์ฟเวอร์คำสั่งและควบคุม (C2)
ที่น่าสนใจเช่นกัน:
การส่งมัลแวร์ของแคมเปญนี้ขึ้นอยู่กับการใช้โครงสร้างพื้นฐานเครือข่ายเดิมที่ถูกโจมตีโดย APT29 การใช้เซิร์ฟเวอร์ที่ถูกบุกรุกเพื่อโฮสต์มัลแวร์ที่ซ่อนอยู่จะเพิ่มโอกาสในการติดตั้งสำเร็จบนคอมพิวเตอร์ ผู้ที่ตกเป็นเหยื่อ.
จากสถานการณ์ปัจจุบันที่เกี่ยวข้องกับสงครามของรัสเซียกับยูเครน การเยือนของเอกอัครราชทูตโปแลนด์ประจำสหรัฐอเมริกาและการพูดคุยของเขาเกี่ยวกับสงคราม ตลอดจนการละเมิดระบบออนไลน์ที่ใช้ในการแลกเปลี่ยนเอกสารภายในสหภาพยุโรป ผู้เชี่ยวชาญของ BlackBerry สรุปว่าแคมเปญ NOBELIUM มุ่งเป้าไปที่ประเทศตะวันตกที่ให้ความช่วยเหลือยูเครน
อ่าน: