APT29 olarak da bilinen NOBELIUM grubu, Batılı ülkeleri hedef alan Rus hükümeti ve Rus Dış İstihbarat Servisi ile bağlantılı bir tehdit aktörüdür. Son zamanlarda, BlackBerry araştırmacıları yeni bir tane kaydetti kampanyaAvrupa Birliği ülkeleri başta olmak üzere bölge siyaseti hakkında gizli bilgileri ileten, savaş nedeniyle ülkeden kaçan Ukraynalılara ve Ukrayna hükümetine yardımcı olan diplomatik kurum ve sistemlerini hedef alan .
Yeni NOBELIUM kampanyası, Polonya Dışişleri Bakanlığı'nın Polonya'ya yaptığı son ziyaretle ilgilenenler için yem oluşturuyor. Birleşik Devletler ve AB LegisWrite'daki resmi belgelerin elektronik alışverişi sistemini aktif olarak kullanır.
APT29 grubu, Aralık 2020'de üst düzey bir tedarik zinciri saldırısının bir SolarWinds Orien yazılım güncellemesini truva atı haline getirmesiyle uluslararası manşetlerde yer aldı. SunBurst adlı bir arka kapı yayarak binlerce kullanıcıya bulaştı. Tarihsel olarak NOBELIUM, hükümet ve sivil toplum kuruluşlarını, analistleri, orduyu, BT hizmet sağlayıcılarını, tıbbi teknoloji ve araştırmayı ve telekomünikasyon sağlayıcılarını hedef almıştır.
Bu kampanya için enfeksiyon vektörü hedeflendi e-dolandırıcılık HTML dosyasını indirmek için bir bağlantı içeren kötü amaçlı bir belge içeren bir e-posta. Kötü amaçlı URL'ler yasal bir çevrimiçi kitaplık sitesinde barındırılıyordu ve uzmanlar, saldırganların 2023 Ocak sonu ile Şubat başı arasında bu URL'yi ele geçirdiğine inanıyor.
Bağlantılardan biri, Polonya büyükelçisinin 2023 çalışma programını öğrenmek isteyenler içindir. Görünüşü, Büyükelçi Marek Magierowski'nin ABD ziyareti ve Ukrayna'daki savaşı tartıştığı 2 Şubat'taki konuşmasıyla aynı zamana denk geliyor. Başka bir tuzak, bilgi alışverişi ve güvenli veri aktarımı için AB ülkelerinde kullanılan meşru sistemleri kullanır. Örneğin LegisWrite, AB hükümetleri arasında güvenli belge alışverişini sağlayan bir düzenleme programıdır.
LegisWrite'ın kötü amaçlı e-postada kullanılması, davetsiz misafirler özellikle Avrupa Birliği içindeki devlet kuruluşlarına yöneliktir. Kötü amaçlı HTML dosyasının daha ayrıntılı analizi, bunun ROOTSAW ve EnvyScout olarak bilinen NOBELIUM damlatıcısının bir sürümü olduğunu ortaya çıkardı.
Eylemler zinciri, amacı virüslü sistem hakkında, sahibinin kullanıcı adı ve IP adresi gibi bilgileri çalmak olan BugSplatRc64.dll adlı bir dosyanın indirilmesine yol açar. Bu veriler, daha sonra komuta ve kontrol sunucusuna (C2) gönderilen benzersiz bir kurban tanımlayıcısı oluşturmak için kullanılır.
Ayrıca ilginç:
Bu kampanyanın kötü amaçlı yazılım dağıtımı, APT29 tarafından tehlikeye atılan eski ağ altyapısının kullanımına dayanmaktadır. Gizli kötü amaçlı yazılımları barındırmak için güvenliği ihlal edilmiş meşru bir sunucu kullanmak, bilgisayarlara başarılı yükleme şansını artırır kurbanların.
BlackBerry uzmanları, Rusya'nın Ukrayna'ya karşı savaşıyla ilgili mevcut duruma, Polonya'nın ABD büyükelçisinin ziyareti ve savaşla ilgili konuşmalarına ve ayrıca Avrupa Birliği içinde belge alışverişi için kullanılan çevrimiçi sistemin kötüye kullanılmasına dayanarak, BlackBerry uzmanları NOBELIUM kampanyasının Ukrayna'ya yardım sağlayan Batılı ülkeleri hedef aldığı sonucuna varıldı.
Ayrıca okuyun: