Grupi NOBELIUM, i njohur gjithashtu si APT29, është një aktor kërcënimi i lidhur me qeverinë ruse dhe Shërbimin e Inteligjencës së Jashtme Ruse që synon vendet perëndimore. Kohët e fundit, studiuesit e BlackBerry regjistruan një të re fushatë, i cili synonte vendet e Bashkimit Evropian, në veçanti, institucionet dhe sistemet e tyre diplomatike që transmetojnë informacione konfidenciale për politikën e rajonit, ndihmojnë ukrainasit që ikin nga vendi për shkak të luftës, dhe qeverinë ukrainase.
Fushata e re NOBELIUM krijon karrem për të interesuarit për vizitën e fundit të Ministrisë së Punëve të Jashtme të Polonisë në SHBA dhe përdor në mënyrë aktive sistemin elektronik të shkëmbimit të dokumenteve zyrtare në EU LegisWrite.
Grupi APT29 u bë tituj ndërkombëtarë në dhjetor 2020 kur një sulm i zinxhirit të furnizimit të nivelit të lartë trojanizoi një përditësim të softuerit SolarWinds Orien. Ai infektoi mijëra përdorues duke përhapur një derë të pasme të quajtur SunBurst. Historikisht, NOBELIUM ka synuar qeverinë dhe organizatat joqeveritare, analistët, ushtrinë, ofruesit e shërbimeve të TI-së, teknologjinë mjekësore dhe kërkimin shkencor dhe ofruesit e telekomunikacionit.
Vektori i infeksionit për këtë fushatë ishte në shënjestër phishing një email me një dokument me qëllim të keq që përmban një lidhje për të shkarkuar një skedar HTML. URL-të me qëllim të keq u strehuan në një faqe të ligjshme të bibliotekës në internet dhe ekspertët besojnë se sulmuesit e komprometuan atë diku midis fundit të janarit 2023 dhe fillimit të shkurtit.
Një nga lidhjet u drejtohet atyre që duan të dinë orarin e punës së ambasadorit të Polonisë për vitin 2023. Paraqitja e tij përkon me vizitën e ambasadorit Marek Magierowski në SHBA dhe fjalimin e tij më 2 shkurt, ku diskutoi për luftën në Ukrainë. Një tjetër mashtrim përdor sisteme legjitime të përdorura në vendet e BE-së për shkëmbimin e informacionit dhe transferimin e sigurt të të dhënave. Për shembull, LegisWrite është një program redaktimi që mundëson shkëmbimin e sigurt të dokumenteve ndërmjet qeverive të BE-së.
Fakti që LegisWrite përdoret në emailin me qëllim të keq tregon këtë ndërhyrës që synojnë veçanërisht organizatat shtetërore brenda Bashkimit Evropian. Analiza e mëtejshme e skedarit me qëllim të keq HTML zbuloi se ai është një version i pikatores NOBELIUM i njohur si ROOTSAW dhe EnvyScout.
Zinxhiri i veprimeve çon në shkarkimin e një skedari të quajtur BugSplatRc64.dll, qëllimi i të cilit është të vjedhë informacione për sistemin e infektuar, si emrin e përdoruesit dhe adresën IP të pronarit. Këto të dhëna përdoren për të gjeneruar një identifikues unik të viktimës, i cili më pas dërgohet në serverin e komandës dhe kontrollit (C2).
Gjithashtu interesante:
Dorëzimi i softuerit keqdashës i kësaj fushate bazohet në përdorimin e infrastrukturës së rrjetit të vjetër që është komprometuar nga APT29. Përdorimi i një serveri legjitim të komprometuar për të pritur malware të fshehur rrit shanset për instalim të suksesshëm në kompjuterë viktimat.
Bazuar në situatën aktuale lidhur me luftën e Rusisë kundër Ukrainës, vizitën e ambasadorit polak në SHBA dhe bisedat e tij për luftën, si dhe abuzimin e sistemit online që përdoret për shkëmbimin e dokumenteve brenda Bashkimit Evropian, ekspertët e BlackBerry arriti në përfundimin se fushata NOBELIUM synon se ka vende perëndimore që ofrojnë ndihmë për Ukrainën.
Lexoni gjithashtu: