NOBELIUM ჯგუფი, ასევე ცნობილი როგორც APT29, არის საფრთხე, რომელიც დაკავშირებულია რუსეთის მთავრობასთან და რუსეთის საგარეო დაზვერვის სამსახურთან, რომელიც მიზნად ისახავს დასავლეთის ქვეყნებს. ცოტა ხნის წინ BlackBerry-ის მკვლევარებმა ახალი ჩაწერეს კამპანია, რომელიც მიმართული იყო ევროკავშირის ქვეყნებზე, კერძოდ, მათ დიპლომატიურ ინსტიტუტებზე და სისტემებზე, რომლებიც გადასცემენ კონფიდენციალურ ინფორმაციას რეგიონის პოლიტიკის შესახებ, ეხმარებიან უკრაინელებს, რომლებიც აფარებენ ქვეყანას ომის გამო და უკრაინის მთავრობას.
ახალი კამპანია NOBELIUM ქმნის სატყუარას პოლონეთის საგარეო საქმეთა სამინისტროს ბოლო ვიზიტით დაინტერესებულთათვის აშშ და აქტიურად იყენებს EU LegisWrite-ში ოფიციალური დოკუმენტების გაცვლის ელექტრონულ სისტემას.
APT29 ჯგუფი გახდა საერთაშორისო სათაურები ჯერ კიდევ 2020 წლის დეკემბერში, როდესაც მაღალი დონის მიწოდების ჯაჭვის შეტევამ ტროიანად მოახდინა SolarWinds Orien პროგრამული უზრუნველყოფის განახლება. მან ათასობით მომხმარებელი დააინფიცირა უკანა კარის გავრცელებით, სახელწოდებით SunBurst. ისტორიულად, NOBELIUM მიზნად ისახავს სამთავრობო და არასამთავრობო ორგანიზაციებს, ანალიტიკოსებს, სამხედროებს, IT სერვისების პროვაიდერებს, სამედიცინო ტექნოლოგიებსა და კვლევებს და სატელეკომუნიკაციო პროვაიდერებს.
ამ კამპანიის ინფექციის ვექტორი იყო გამიზნული ფიშინგი ელფოსტა მავნე დოკუმენტით, რომელიც შეიცავს ბმულს HTML ფაილის ჩამოსატვირთად. მავნე URL-ები განთავსებული იყო ლეგიტიმური ონლაინ ბიბლიოთეკის საიტზე და ექსპერტები თვლიან, რომ თავდამსხმელებმა მას კომპრომეტირება მოახდინეს 2023 წლის იანვრის ბოლოდან თებერვლის დასაწყისში.
ერთ-ერთი ბმული განკუთვნილია მათთვის, ვისაც სურს იცოდეს პოლონეთის ელჩის სამუშაო გრაფიკი 2023 წლისთვის. მისი გამოჩენა ემთხვევა ელჩის მარეკ მაგიეროვსკის ვიზიტს აშშ-ში და მის გამოსვლას 2 თებერვალს, სადაც მან უკრაინის ომი განიხილა. კიდევ ერთი სატყუარა იყენებს ლეგიტიმურ სისტემებს, რომლებიც გამოიყენება ევროკავშირის ქვეყნებში ინფორმაციის გაცვლისა და მონაცემთა უსაფრთხო გადაცემისთვის. მაგალითად, LegisWrite არის რედაქტირების პროგრამა, რომელიც იძლევა დოკუმენტების უსაფრთხო გაცვლას ევროკავშირის მთავრობებს შორის.
ის ფაქტი, რომ LegisWrite გამოიყენება მავნე ელფოსტაში, ამაზე მიუთითებს შემოჭრილები მიმართულია კონკრეტულად ევროკავშირის სახელმწიფო ორგანიზაციებზე. მავნე HTML ფაილის შემდგომმა ანალიზმა აჩვენა, რომ ეს არის NOBELIUM dropper-ის ვერსია, რომელიც ცნობილია როგორც ROOTSAW და EnvyScout.
მოქმედებების ჯაჭვი იწვევს ფაილის ჩამოტვირთვას სახელწოდებით BugSplatRc64.dll, რომლის მიზანია მოიპაროს ინფორმაცია ინფიცირებული სისტემის შესახებ, როგორიცაა მომხმარებლის სახელი და IP მისამართი. ეს მონაცემები გამოიყენება მსხვერპლის უნიკალური იდენტიფიკატორის შესაქმნელად, რომელიც შემდეგ იგზავნება ბრძანებისა და კონტროლის სერვერზე (C2).
ასევე საინტერესოა:
ამ კამპანიის მავნე პროგრამების მიწოდება ეფუძნება მოძველებული ქსელის ინფრასტრუქტურის გამოყენებას, რომელიც კომპრომეტირებულია APT29-ის მიერ. დაზიანებული ლეგიტიმური სერვერის გამოყენება დამალული მავნე პროგრამის განსათავსებლად ზრდის კომპიუტერზე წარმატებული ინსტალაციის შანსებს მსხვერპლი.
უკრაინის წინააღმდეგ რუსეთის ომთან დაკავშირებული არსებული ვითარებიდან გამომდინარე, პოლონეთის ელჩის ვიზიტი აშშ-ში და მისი საუბარი ომზე, ასევე ევროკავშირში დოკუმენტების გაცვლისთვის გამოყენებული ონლაინ სისტემის ბოროტად გამოყენებაზე, BlackBerry-ის ექსპერტებმა დაასკვნა, რომ NOBELIUM-ის კამპანია მიზნად ისახავს დასავლეთის ქვეყნებს, რომლებიც დახმარებას უწევენ უკრაინას.
ასევე წაიკითხეთ: