NOBELIUM hópurinn, einnig þekktur sem APT29, er ógnunaraðili tengdur rússneskum stjórnvöldum og rússnesku utanríkisleyniþjónustunni sem beinast gegn vestrænum löndum. Nýlega tóku rannsakendur BlackBerry upp nýjan herferð, sem var beint að löndum Evrópusambandsins, einkum að diplómatískum stofnunum þeirra og kerfum sem senda trúnaðarupplýsingar um stjórnmál svæðisins, aðstoða Úkraínumenn sem flýja land vegna stríðsins, og úkraínsk stjórnvöld.
Nýja NOBELIUM herferðin skapar beitu fyrir þá sem hafa áhuga á nýlegri heimsókn pólska utanríkisráðuneytisins til Bandaríkin og notar virkan rafrænt kerfi til að skiptast á opinberum skjölum í ESB LegisWrite.
APT29 hópurinn komst í alþjóðlegar fréttir aftur í desember 2020 þegar árás á háu stigi aðfangakeðju tróverjaði SolarWinds Orien hugbúnaðaruppfærslu. Það smitaði þúsundir notenda með því að dreifa bakdyrum sem kallast SunBurst. Sögulega hefur NOBELIUM skotið á stjórnvöld og frjáls félagasamtök, sérfræðingar, herinn, upplýsingatækniþjónustuaðila, lækningatækni og rannsóknir og fjarskiptafyrirtæki.
Sýkingarferjan fyrir þessa herferð var miðuð vefveiðar tölvupóstur með skaðlegu skjali sem inniheldur hlekk til að hlaða niður HTML skrá. Skaðlegu vefslóðirnar voru hýstar á lögmætri bókasafnssíðu á netinu og sérfræðingar telja að árásarmennirnir hafi gert það í hættu einhvern tíma á milli lok janúar 2023 og byrjun febrúar.
Einn af krækjunum er ætlaður þeim sem vilja kynna sér starfsáætlun sendiherra Póllands fyrir árið 2023. Framkoma hans fer saman við heimsókn Marek Magierowski sendiherra til Bandaríkjanna og ræðu hans 2. febrúar þar sem hann ræddi stríðið í Úkraínu. Annar tálbeitur notar lögmæt kerfi sem notuð eru í ESB löndum til upplýsingaskipta og öruggra gagnaflutninga. Til dæmis er LegisWrite klippiforrit sem gerir örugg skiptingu skjala milli ríkisstjórna ESB.
Sú staðreynd að LegisWrite er notað í illgjarna tölvupóstinum gefur til kynna það boðflenna beinist sérstaklega að ríkisstofnunum innan Evrópusambandsins. Frekari greining á illgjarnu HTML-skránni leiddi í ljós að þetta er útgáfa af NOBELIUM droparanum sem kallast ROOTSAW og EnvyScout.
Aðgerðakeðjan leiðir til niðurhals á skrá sem kallast BugSplatRc64.dll, en tilgangur hennar er að stela upplýsingum um sýkta kerfið, svo sem notandanafn og IP-tölu eigandans. Þessi gögn eru notuð til að búa til einstakt fórnarlambsauðkenni, sem síðan er sent til stjórn- og stjórnunarþjónsins (C2).
Einnig áhugavert:
Afhending spilliforrita þessarar herferðar er byggð á notkun eldri netkerfis sem hefur verið stefnt í hættu af APT29. Að nota lögmætan netþjón sem er í hættu til að hýsa falinn spilliforrit eykur líkurnar á árangursríkri uppsetningu á tölvum fórnarlömb.
Byggt á núverandi ástandi í tengslum við stríð Rússlands gegn Úkraínu, heimsókn pólska sendiherrans í Bandaríkjunum og viðræðum hans um stríðið, sem og misnotkun á netkerfinu sem notað er til að skiptast á skjölum innan Evrópusambandsins, sögðu sérfræðingar BlackBerry komst að þeirri niðurstöðu að NÓBELIUM herferðin beinist að því að það séu vestræn lönd sem veita Úkraínu aðstoð.
Lestu líka: