קבוצת NOBELIUM, הידועה גם בשם APT29, היא גורם איום המקושר לממשלת רוסיה ולשירות הביון החוץ הרוסי המכוון למדינות מערביות. לאחרונה, חוקרי בלקברי הקליטו אחד חדש קמפיין, אשר כוונה למדינות האיחוד האירופי, בפרט, למוסדות ומערכות דיפלומטיות שלהן המעבירות מידע סודי על הפוליטיקה של האזור, עוזרות לאוקראינים להימלט מהמדינה בגלל המלחמה, ולממשלת אוקראינה.
קמפיין NOBELIUM החדש יוצר פיתיון עבור המתעניינים בביקור האחרון של משרד החוץ הפולני ל ארצות הברית ומשתמש באופן פעיל במערכת האלקטרונית של החלפת מסמכים רשמיים ב-EU LegisWrite.
קבוצת APT29 עלתה לכותרות בינלאומיות עוד בדצמבר 2020, כאשר מתקפת שרשרת אספקה ברמה גבוהה גרמה לעדכון תוכנה של SolarWinds Orien. זה הדביק אלפי משתמשים על ידי הפצת דלת אחורית בשם SunBurst. מבחינה היסטורית, NOBELIUM פנתה לארגונים ממשלתיים ולא-ממשלתיים, אנליסטים, צבא, ספקי שירותי IT, טכנולוגיה רפואית ומחקר וספקי תקשורת.
וקטור ההדבקה עבור מסע פרסום זה היה ממוקד דיוג אימייל עם מסמך זדוני המכיל קישור להורדת קובץ HTML. כתובות האתרים הזדוניות התארחו באתר ספרייה מקוון לגיטימי, ומומחים מאמינים שהתוקפים התפשרו על כך מתישהו בין סוף ינואר 2023 לתחילת פברואר.
אחד הקישורים מיועד למי שרוצה לדעת את לוח העבודה של שגריר פולין לשנת 2023. הופעתו עולה בקנה אחד עם ביקורו של השגריר מרק מגירובסקי בארה"ב ונאומו ב-2 בפברואר, שם דן במלחמה באוקראינה. פיתוי אחר משתמש במערכות לגיטימיות המשמשות במדינות האיחוד האירופי לחילופי מידע והעברת נתונים מאובטחת. לדוגמה, LegisWrite היא תוכנית עריכה המאפשרת החלפה מאובטחת של מסמכים בין ממשלות האיחוד האירופי.
העובדה שנעשה שימוש ב-LegisWrite במייל הזדוני מעידה על כך פולשים מכוון במיוחד לארגונים ממלכתיים בתוך האיחוד האירופי. ניתוח נוסף של קובץ ה-HTML הזדוני גילה כי מדובר בגרסה של הטפטפת של NOBELIUM המכונה ROOTSAW ו-EnvyScout.
שרשרת הפעולות מובילה להורדה של קובץ בשם BugSplatRc64.dll, שמטרתו לגנוב מידע על המערכת הנגועה, כמו שם המשתמש וכתובת ה-IP של הבעלים. נתונים אלה משמשים ליצירת מזהה קורבן ייחודי, אשר נשלח לאחר מכן לשרת הפיקוד והבקרה (C2).
מעניין גם:
אספקת התוכנה הזדונית של מסע פרסום זה מבוססת על שימוש בתשתית רשת מדור קודם שנפרצה על ידי APT29. שימוש בשרת לגיטימי שנפגע כדי לארח תוכנות זדוניות נסתרות מגדיל את הסיכויים להתקנה מוצלחת במחשבים קורבנות.
בהתבסס על המצב הנוכחי הקשור למלחמה של רוסיה נגד אוקראינה, ביקורו של שגריר פולין בארה"ב ושיחותיו על המלחמה, כמו גם ניצול לרעה של המערכת המקוונת המשמשת להחלפת מסמכים בתוך האיחוד האירופי, מומחי BlackBerry הגיע למסקנה שקמפיין NOBELIUM מכוון למדינות מערביות המספקות סיוע לאוקראינה.
קרא גם: