NOBELIUM rühmitus, tuntud ka kui APT29, on Venemaa valitsuse ja Venemaa välisluureteenistusega seotud ohutegureid, mis sihivad lääneriike. Hiljuti salvestasid BlackBerry teadlased uue kampaania, mis oli suunatud Euroopa Liidu riikidele, eelkõige nende diplomaatilistele institutsioonidele ja süsteemidele, mis edastavad konfidentsiaalset teavet piirkonna poliitika kohta, aitavad sõja eest riigist põgenevaid ukrainlasi ja Ukraina valitsust.
Uus NOBELIUM kampaania loob sööda neile, kes on huvitatud hiljutisest Poola välisministeeriumi visiidist USA ning kasutab aktiivselt EL LegisWrite ametlike dokumentide vahetamise elektroonilist süsteemi.
APT29 grupp jõudis rahvusvahelistesse pealkirjadesse juba 2020. aasta detsembris, kui kõrgetasemeline tarneahela rünnak troojastas SolarWinds Orien tarkvarauuenduse. See nakatas tuhandeid kasutajaid, levitades tagaukse nimega SunBurst. Ajalooliselt on NOBELIUM sihikule võtnud valitsus- ja valitsusvälised organisatsioonid, analüütikud, sõjaväelased, IT-teenuste pakkujad, meditsiinitehnoloogia ja -uuringud ning telekommunikatsiooni pakkujad.
Selle kampaania nakkusvektor oli suunatud andmepüügi meili pahatahtliku dokumendiga, mis sisaldab linki HTML-faili allalaadimiseks. Pahatahtlikke URL-e majutati seaduslikul veebiteegi saidil ja eksperdid usuvad, et ründajad ohustasid seda millalgi 2023. aasta jaanuari lõpust kuni veebruari alguseni.
Üks linkidest on suunatud neile, kes soovivad teada Poola suursaadiku 2023. aasta töögraafikut. Tema esinemine langeb kokku suursaadik Marek Magierowski visiidiga USA-sse ja 2. veebruari kõnega, kus ta arutles Ukraina sõja üle. Teine peibutusvahend kasutab teabevahetuseks ja turvaliseks andmeedastuseks EL-i riikides kasutatavaid legitiimseid süsteeme. Näiteks LegisWrite on redigeerimisprogramm, mis võimaldab turvaliselt dokumente vahetada EL-i valitsuste vahel.
Asjaolu, et pahatahtlikus meilis kasutatakse LegisWrite'i, viitab sellele sissetungijad suunatud just Euroopa Liidu riiklikele organisatsioonidele. Pahatahtliku HTML-faili edasine analüüs näitas, et see on NOBELIUM tilguti versioon, mida tuntakse ROOTSAW ja EnvyScout nime all.
Toimingute ahel viib faili nimega BugSplatRc64.dll allalaadimiseni, mille eesmärk on varastada nakatunud süsteemi kohta teavet, nagu omaniku kasutajanimi ja IP-aadress. Neid andmeid kasutatakse kordumatu ohvri identifikaatori genereerimiseks, mis saadetakse seejärel käsu- ja juhtimisserverisse (C2).
Huvitav ka:
Selle kampaania pahavara edastamine põhineb pärandvõrgu infrastruktuuri kasutamisel, mille APT29 on ohustanud. Ohustatud legitiimse serveri kasutamine peidetud pahavara majutamiseks suurendab eduka installimise tõenäosust arvutitesse ohvrid.
Tuginedes Venemaa Ukraina-vastase sõjaga seotud hetkeolukorrale, Poola suursaadiku visiidile USA-sse ja tema kõnelustele sõjast, samuti Euroopa Liidu-siseseks dokumentide vahetamiseks kasutatava online-süsteemi kuritarvitamisest, räägivad BlackBerry eksperdid. järeldas, et NOBELIUM kampaania on suunatud Ukrainale abi osutavatele lääneriikidele.
Loe ka: