NOBELIUM 組織,也稱為 APT29,是與俄羅斯政府和針對西方國家的俄羅斯外國情報局有聯繫的威脅行為者。 最近,黑莓研究人員記錄了一個新的 活動,它針對的是歐盟國家,特別是其外交機構和系統,這些機構和系統傳輸有關該地區政治的機密信息,幫助因戰爭而逃離該國的烏克蘭人,以及烏克蘭政府。
新的 NOBELIUM 活動為那些對波蘭外交部最近訪問波蘭感興趣的人創造了誘餌 美國 並積極使用歐盟 LegisWrite 中的官方文件電子交換系統。
APT29 組織在 2020 年 月成為國際頭條新聞,當時一次高級供應鏈攻擊使 SolarWinds Orien 軟件更新木馬化。 它通過傳播名為 SunBurst 的後門感染了數千名用戶。 從歷史上看,NOBELIUM 的目標是政府和非政府組織、分析師、軍隊、IT 服務提供商、醫療技術和研究以及電信提供商。
此活動的感染媒介是有針對性的 網絡釣魚 帶有惡意文檔的電子郵件,其中包含下載 HTML 文件的鏈接。 惡意 URL 託管在一個合法的在線圖書館網站上,專家認為攻擊者在 2023 年 月下旬至 月初之間的某個時間破壞了它。
其中一個鏈接針對那些想了解波蘭大使 2023 年工作時間表的人。 他的出現恰逢大使馬雷克·馬吉羅夫斯基 (Marek Magierowski) 訪問美國並在 2 月 日發表講話,他在講話中討論了烏克蘭戰爭。 另一個誘餌使用歐盟國家使用的合法系統進行信息交換和安全數據傳輸。 例如,LegisWrite 是一種編輯程序,可以在歐盟政府之間安全地交換文件。
惡意電子郵件中使用 LegisWrite 的事實表明 闖入者 專門針對歐盟內部的國家組織。 對惡意 HTML 文件的進一步分析表明,它是 NOBELIUM dropper 的一個版本,稱為 ROOTSAW 和 EnvyScout。
一系列操作導致下載名為 BugSplatRc64.dll 的文件,其目的是竊取有關受感染系統的信息,例如所有者的用戶名和 IP 地址。 此數據用於生成唯一的受害者標識符,然後將其發送到命令和控制服務器 (C2)。
也很有趣:
此活動的惡意軟件交付基於使用已被 APT29 破壞的舊網絡基礎設施。 使用受感染的合法服務器來託管隱藏的惡意軟件會增加在計算機上成功安裝的機會 受害者.
基於俄羅斯對烏克蘭戰爭的現狀、波蘭駐美國大使的訪問和他的戰爭談話,以及歐盟內部用於交換文件的在線系統的濫用,黑莓專家得出的結論是,NOBELIUM 運動針對的是向烏克蘭提供援助的西方國家。
另請閱讀: