Skupina NOBELIUM, znana tudi kot APT29, je grožnja, povezana z rusko vlado in rusko zunanjo obveščevalno službo, ki cilja na zahodne države. Pred kratkim so raziskovalci BlackBerryja posneli novo kampanja, ki je bil namenjen državam Evropske unije, predvsem njihovim diplomatskim ustanovam in sistemom, ki posredujejo zaupne informacije o politiki v regiji, pomagajo Ukrajincem, ki bežijo iz države zaradi vojne, in ukrajinski vladi.
Nova kampanja NOBELIUM ustvarja vabo za tiste, ki jih zanima nedavni obisk poljskega ministrstva za zunanje zadeve v ZDA in aktivno uporablja elektronski sistem izmenjave uradnih dokumentov v EU LegisWrite.
Skupina APT29 je prišla na mednarodne naslovnice že decembra 2020, ko je napad na dobavno verigo na visoki ravni trojaniziral posodobitev programske opreme SolarWinds Orien. Okužil je na tisoče uporabnikov s širjenjem stranskih vrat, imenovanih SunBurst. V preteklosti je NOBELIUM ciljal na vladne in nevladne organizacije, analitike, vojsko, ponudnike IT storitev, medicinsko tehnologijo in raziskave ter ponudnike telekomunikacij.
Vektor okužbe za to akcijo je bil tarčen lažno predstavljanje e-poštno sporočilo z zlonamernim dokumentom, ki vsebuje povezavo za prenos datoteke HTML. Zlonamerni URL-ji so gostovali na zakonitem spletnem mestu spletne knjižnice in strokovnjaki menijo, da so ga napadalci ogrozili nekje med koncem januarja 2023 in začetkom februarja.
Ena od povezav je namenjena tistim, ki želijo izvedeti urnik dela veleposlanika Poljske za leto 2023. Njegov nastop sovpada z obiskom veleposlanika Mareka Magierowskega v ZDA in njegovim govorom 2. februarja, kjer je razpravljal o vojni v Ukrajini. Druga vaba uporablja zakonite sisteme, ki se uporabljajo v državah EU za izmenjavo informacij in varen prenos podatkov. LegisWrite je na primer program za urejanje, ki omogoča varno izmenjavo dokumentov med vladami EU.
Dejstvo, da je LegisWrite uporabljen v zlonamerni e-pošti, kaže na to vsiljivci namenjeno posebej državnim organizacijam znotraj Evropske unije. Nadaljnja analiza zlonamerne datoteke HTML je razkrila, da gre za različico kapalke NOBELIUM, znane kot ROOTSAW in EnvyScout.
Veriga dejanj vodi do prenosa datoteke BugSplatRc64.dll, katere namen je ukrasti podatke o okuženem sistemu, kot sta uporabniško ime in IP naslov lastnika. Ti podatki se uporabljajo za ustvarjanje enoličnega identifikatorja žrtve, ki se nato pošlje strežniku za ukaze in nadzor (C2).
Zanimivo tudi:
Dostava zlonamerne programske opreme te kampanje temelji na uporabi podedovane omrežne infrastrukture, ki jo je ogrozil APT29. Uporaba ogroženega legitimnega strežnika za gostovanje skrite zlonamerne programske opreme poveča možnosti za uspešno namestitev v računalnike žrtve.
Na podlagi aktualnih razmer, povezanih z vojno Rusije proti Ukrajini, obiska poljskega veleposlanika v ZDA in njegovih pogovorov o vojni ter zlorabe spletnega sistema za izmenjavo dokumentov znotraj Evropske unije, strokovnjaki BlackBerry ugotovil, da je kampanja NOBELIUM usmerjena na zahodne države, ki Ukrajini nudijo pomoč.
Preberite tudi: