NOBELIUM тобы, сондай-ақ APT29 ретінде белгілі, Батыс елдерін нысанаға алған Ресей үкіметі мен Ресей сыртқы барлау қызметімен байланысы бар қауіп-қатер субъектісі. Жақында BlackBerry зерттеушілері жаңасын жазды науқан, бұл Еуропалық Одақ елдеріне, атап айтқанда, олардың дипломатиялық мекемелері мен жүйелеріне, аймақтың саясаты туралы құпия ақпаратты тарататын, соғыс салдарынан елден қашып кеткен украиндықтарға көмектесетін және Украина үкіметіне бағытталған.
Жаңа NOBELIUM науқаны Польша Сыртқы істер министрлігінің жақында болған сапарына қызығушылық танытқандар үшін жем жасайды. Америка Құрама Штаттары және ЕО LegisWrite ресми құжаттармен алмасудың электронды жүйесін белсенді түрде қолданады.
APT29 тобы 2020 жылдың желтоқсан айында жоғары деңгейдегі жеткізу тізбегінің шабуылы SolarWinds Orien бағдарламалық құралының жаңартуын троянизациялаған кезде халықаралық тақырыптарға шықты. Ол SunBurst деп аталатын бэкдорды тарату арқылы мыңдаған пайдаланушыларды жұқтырды. Тарихи тұрғыдан алғанда, NOBELIUM мемлекеттік және үкіметтік емес ұйымдарға, сарапшыларға, әскерилерге, IT қызметтерін жеткізушілерге, медициналық технологиялар мен зерттеулерге және телекоммуникация провайдерлеріне бағытталған.
Бұл науқанның инфекция векторы мақсатты болды фишинг HTML файлын жүктеп алу сілтемесі бар зиянды құжаты бар электрондық пошта. Зиянды URL мекенжайлары заңды онлайн кітапхана сайтында орналастырылған және сарапшылар шабуылдаушылар оны 2023 жылдың қаңтар айының соңы мен ақпан айының басы аралығында бұзған деп санайды.
Сілтемелердің бірі Польша елшісінің 2023 жылға арналған жұмыс кестесін білгісі келетіндерге арналған. Оның келуі елші Марек Магиеровскийдің АҚШ-қа сапарымен және 2 ақпанда Украинадағы соғысты талқылаған сөзімен тұспа-тұс келді. Басқа алдау ақпарат алмасу және деректерді қауіпсіз тасымалдау үшін ЕО елдерінде қолданылатын заңды жүйелерді пайдаланады. Мысалы, LegisWrite – ЕО үкіметтері арасында құжаттардың қауіпсіз алмасуына мүмкіндік беретін өңдеу бағдарламасы.
Зиянды электрондық поштада LegisWrite пайдаланылғаны осыны көрсетеді зиянкестер Еуропалық Одақ шеңберіндегі мемлекеттік ұйымдарға арнайы бағытталған. Зиянды HTML файлын одан әрі талдау оның ROOTSAW және EnvyScout деп аталатын NOBELIUM тамшысының нұсқасы екенін көрсетті.
Әрекеттер тізбегі BugSplatRc64.dll деп аталатын файлды жүктеп алуға әкеледі, оның мақсаты пайдаланушы аты мен иесінің IP мекенжайы сияқты вирус жұққан жүйе туралы ақпаратты ұрлау болып табылады. Бұл деректер құрбанның бірегей идентификаторын жасау үшін пайдаланылады, ол кейін командалық және басқару серверіне (C2) жіберіледі.
Сондай-ақ қызықты:
Бұл науқанның зиянды бағдарламаларын жеткізу APT29 арқылы бұзылған ескі желілік инфрақұрылымды пайдалануға негізделген. Жасырын зиянды бағдарламаны орналастыру үшін бұзылған заңды серверді пайдалану компьютерлерде сәтті орнату мүмкіндігін арттырады құрбан болғандар.
BlackBerry сарапшылары Ресейдің Украинаға қарсы соғысына, Польша елшісінің АҚШ-қа сапарына және оның соғыс туралы келіссөздеріне, сондай-ақ Еуропалық Одақ аясында құжат алмасу үшін қолданылатын онлайн жүйені теріс пайдалануына байланысты қазіргі жағдайға сүйене отырып, NOBELIUM науқаны Украинаға көмек көрсететін Батыс елдеріне бағытталған деген қорытындыға келді.
Сондай-ақ оқыңыз: