Ang grupong NOBELIUM, na kilala rin bilang APT29, ay isang banta na aktor na nauugnay sa gobyerno ng Russia at sa Russian Foreign Intelligence Service na nagta-target sa mga bansang Kanluranin. Kamakailan, nagtala ang mga mananaliksik ng BlackBerry ng bago kampanya, na naglalayong sa mga bansa ng European Union, sa partikular, sa kanilang mga diplomatikong institusyon at sistema na nagpapadala ng kumpidensyal na impormasyon tungkol sa pulitika ng rehiyon, tulungan ang mga Ukrainians na tumakas sa bansa dahil sa digmaan, at ang pamahalaang Ukrainian.
Lumilikha ng pain ang bagong NOBELIUM campaign para sa mga interesado sa kamakailang pagbisita ng Polish Ministry of Foreign Affairs sa Amerika at aktibong ginagamit ang elektronikong sistema ng pagpapalitan ng mga opisyal na dokumento sa EU LegisWrite.
Ang grupong APT29 ay gumawa ng mga internasyonal na ulo ng balita noong Disyembre 2020 nang ang isang mataas na antas na pag-atake ng supply chain ay nag-trojan ng isang SolarWinds Orien software update. Nahawahan nito ang libu-libong user sa pamamagitan ng pagkalat ng backdoor na tinatawag na SunBurst. Sa kasaysayan, target ng NOBELIUM ang mga organisasyon ng gobyerno at non-government, analyst, militar, IT service provider, teknolohiyang medikal at pananaliksik, at mga provider ng telekomunikasyon.
Na-target ang infection vector para sa campaign na ito phishing isang email na may malisyosong dokumento na naglalaman ng link para mag-download ng HTML file. Ang mga nakakahamak na URL ay na-host sa isang lehitimong online library site, at naniniwala ang mga eksperto na nakompromiso ito ng mga umaatake sa pagitan ng huling bahagi ng Enero 2023 at unang bahagi ng Pebrero.
Ang isa sa mga link ay naglalayong sa mga gustong malaman ang iskedyul ng trabaho ng ambassador ng Poland para sa 2023. Ang kanyang hitsura ay kasabay ng pagbisita ni Ambassador Marek Magierowski sa USA at sa kanyang talumpati noong Pebrero 2, kung saan tinalakay niya ang digmaan sa Ukraine. Ang isa pang decoy ay gumagamit ng mga lehitimong sistema na ginagamit sa mga bansa sa EU para sa pagpapalitan ng impormasyon at secure na paglilipat ng data. Halimbawa, ang LegisWrite ay isang programa sa pag-edit na nagbibigay-daan sa secure na pagpapalitan ng mga dokumento sa pagitan ng mga pamahalaan ng EU.
Ang katotohanan na ang LegisWrite ay ginagamit sa malisyosong email ay nagpapahiwatig na nanghihimasok partikular na naglalayon sa mga organisasyon ng estado sa loob ng European Union. Ang karagdagang pagsusuri sa malisyosong HTML file ay nagsiwalat na ito ay isang bersyon ng NOBELIUM dropper na kilala bilang ROOTSAW at EnvyScout.
Ang chain of actions ay humahantong sa pag-download ng file na tinatawag na BugSplatRc64.dll, ang layunin nito ay magnakaw ng impormasyon tungkol sa nahawaang system, gaya ng user name at IP address ng may-ari. Ang data na ito ay ginagamit upang bumuo ng isang natatanging identifier ng biktima, na pagkatapos ay ipapadala sa command at control server (C2).
Kawili-wili din:
Ang paghahatid ng malware ng campaign na ito ay batay sa paggamit ng legacy na imprastraktura ng network na nakompromiso ng APT29. Ang paggamit ng isang nakompromisong lehitimong server upang mag-host ng nakatagong malware ay nagpapataas ng mga pagkakataon ng matagumpay na pag-install sa mga computer mga biktima.
Batay sa kasalukuyang sitwasyon na may kaugnayan sa digmaan ng Russia laban sa Ukraine, ang pagbisita ng embahador ng Poland sa US at ang kanyang mga pag-uusap tungkol sa digmaan, pati na rin ang pag-abuso sa online na sistema na ginagamit para sa pagpapalitan ng mga dokumento sa loob ng European Union, mga eksperto sa BlackBerry napagpasyahan na ang kampanya ng NOBELIUM ay nagta-target sa mga bansang Kanluranin na nagbibigay ng tulong sa Ukraine.
Basahin din: