NOBELIUM тобу, ошондой эле APT29 катары белгилүү, Батыш өлкөлөрүн бутага алган орус өкмөтү жана Орусиянын Тышкы чалгын кызматы менен байланышы бар коркунучтуу актер. Жакында BlackBerry изилдөөчүлөрү жаңысын жазышты кампания, Евробиримдиктин өлкөлөрүнө, атап айтканда, алардын дипломатиялык мекемелерине жана системаларына, региондун саясаты тууралуу купуя маалымат таратуучу, согуштан улам өлкөдөн качып кеткен украиндерге жардам берүү жана украин өкмөтүнө багытталган.
Жаңы NOBELIUM кампаниясы Польшанын Тышкы иштер министрлигинин жакында болгон сапарына кызыккандар үчүн жем жаратат. Америка Кошмо Штаттары жана ЕБ LegisWrite расмий документтерди алмашуу электрондук системасын жигердүү колдонот.
APT29 тобу 2020-жылдын декабрь айында, SolarWinds Orien программалык жаңыртуусун троянизациялаган жогорку деңгээлдеги жеткирүү чынжырчасынын чабуулунан кийин эл аралык жаңылыктарды жаратты. Ал SunBurst деп аталган бэк-доорду жайылтуу менен миңдеген колдонуучуларга жуккан. Тарыхый жактан алганда, NOBELIUM мамлекеттик жана өкмөттүк эмес уюмдарды, талдоочуларды, аскерийлерди, IT кызмат көрсөтүүчүлөрүн, медициналык технологияларды жана изилдөөлөрдү жана телекоммуникациялык провайдерлерди бутага алган.
Бул кампаниянын инфекция вектору максаттуу болгон фишинг HTML файлын жүктөп алуу үчүн шилтемени камтыган зыяндуу документ менен электрондук почта. Зыяндуу URL даректер мыйзамдуу онлайн китепкана сайтында жайгаштырылган жана эксперттер чабуулчулар аны 2023-жылдын январь айынын аягында жана февраль айынын башында бузушкан деп эсептешет.
Шилтемелердин бири Польшанын элчисинин 2023-жылга карата иштөө графигин билгиси келгендерге багытталган. Анын көрүнүшү элчи Марек Магиеровскийдин АКШга сапарына жана 2-февралда Украинадагы согушту талкуулаган сөзүнө туш келди. Дагы бир алдамчылык маалымат алмашуу жана коопсуз маалыматтарды берүү үчүн ЕБ өлкөлөрүндө колдонулган мыйзамдуу системаларды колдонот. Мисалы, LegisWrite бул ЕБ өкмөттөрүнүн ортосунда документтерди коопсуз алмашууга мүмкүндүк берген түзөтүү программасы.
LegisWrite зыяндуу электрондук почтада колдонулганы муну көрсөтүп турат кирип келгендер Европа Биримдигиндеги мамлекеттик уюмдарга багытталган. Зыяндуу HTML файлын андан ары талдоо бул ROOTSAW жана EnvyScout деп аталган NOBELIUM тамчылаткычынын версиясы экенин көрсөттү.
Иш-аракеттердин тизмеги BugSplatRc64.dll деп аталган файлды жүктөөгө алып келет, анын максаты ээсинин аты жана IP дареги сыяктуу жуккан система тууралуу маалыматты уурдоо. Бул маалыматтар жабырлануучунун уникалдуу идентификаторун түзүү үчүн колдонулат, ал андан кийин буйрук жана башкаруу серверине (C2) жөнөтүлөт.
Ошондой эле кызыктуу:
Бул кампаниянын кесепеттүү программаларын жеткирүү APT29 тарабынан бузулган эски тармак инфраструктурасын колдонууга негизделген. Жашыруун зыяндуу программаларды жайгаштыруу үчүн бузулган мыйзамдуу серверди колдонуу компьютерлерге ийгиликтүү орнотуу мүмкүнчүлүгүн жогорулатат жабыр тарткан.
BlackBerry эксперттери Орусиянын Украинага каршы согушуна байланыштуу учурдагы кырдаалга, Польшанын элчисинин АКШдагы сапарына жана анын согуш тууралуу сүйлөшүүлөрүнө, ошондой эле Евробиримдиктин алкагында документ алмашуу үчүн колдонулган онлайн системасын кыянаттык менен пайдалануусуна таянып, NOBELIUM кампаниясы Украинага жардам көрсөткөн батыш өлкөлөрүнө багытталган деген жыйынтыкка келген.
Ошондой эле окуңуз: