Угрупування NOBELIUM, також відоме як APT29 – це пов’язаний з російським урядом і Службою зовнішньої розвідки рф суб’єкт загроз, який націлений на західні країни. Нещодавно дослідники BlackBerry зафіксували нову кампанію, що була спрямована на країни Євросоюзу, зокрема, на їхні дипломатичні установи та системи, що передають конфіденційну інформацію про політику регіону, допомагають українцям, які тікають з країни через війну, і українському уряду.
Нова кампанія NOBELIUM створює приманки для тих, хто цікавиться нещодавнім візитом Міністерства закордонних справ Польщі до США і активно користується електронною системою обміну офіційними документами в ЄС LegisWrite.
Угрупування APT29 потрапило у заголовки міжнародних новин ще в грудні 2020 року, коли високорівнева атака на ланцюжок поставок троянізувала оновлення програмного забезпечення SolarWinds Orien. Вона зачепила тисячі користувачів, поширюючи бекдор під назвою SunBurst. Історично NOBELIUM був націлений на урядові та неурядові організації, аналітиків, військових, постачальників ІТ-послуг, медичні технології та дослідження, а також телекомунікаційних провайдерів.
Вектором зараження для цієї кампанії став цільовий фішинговий електронний лист зі шкідливим документом, в якому міститься посилання на завантаження HTML-файлу. Шкідливі URL-адреси були розміщені на легальному сайті онлайн-бібліотеки, і фахівці вважають, що зловмисники зламали його десь між кінцем січня 2023 року та початком лютого.
Одне із посилань орієнтовано на тих, хто хоче дізнатися графік роботи посла Польщі на 2023 рік. Його поява співпадає з візитом посла Марека Маґєровського до США і його виступом 2 лютого, де він обговорював війну в Україні. Ще одна приманка використовує легітимні системи, якими в країнах ЄС користуються для обміну інформацією та безпечної передачі даних. Наприклад, LegisWrite – це програма для редагування, яка дозволяє безпечно обмінюватися документами між урядами країн ЄС.
Той факт, що LegisWrite використовується у шкідливому листі, вказує на те, що зловмисники націлені саме на державні організації в межах Євросоюзу. Подальший аналіз шкідливого HTML-файлу показав, що він є версією шкідливого дропера NOBELIUM, відомого як ROOTSAW та EnvyScout.
Ланцюжок дій приводить до завантаження файла під назвою BugSplatRc64.dll, мета якого – викрасти інформацію про заражену систему, як-от ім’я користувача та IP-адреса власника. Ці дані використовуються для створення унікального ідентифікатора жертви, який потім надсилається на командно-контрольний сервер (C2).
Теж цікаво:
Доставка шкідливого ПЗ цієї кампанії базується на використанні застарілої мережевої інфраструктури, яка була скомпрометована APT29. Використання скомпрометованого легітимного сервера для розміщення прихованого шкідливого ПЗ збільшує шанси на успішну інсталяцію на комп’ютерах жертв.
Виходячи з поточної ситуації, пов’язаної з війною росії проти України, візитом посла Польщі до США та його розмовами про війну, а також зловживанням онлайн-системою, що використовується для обміну документами всередині Європейського Союзу, експерти BlackBerry зробили висновки, що мішенню кампанії NOBELIUM є західні країни, які надають допомогу Україні.
Читайте також: