NOBELIUM 组织,也称为 APT29,是与俄罗斯政府和针对西方国家的俄罗斯外国情报局有联系的威胁行为者。 最近,黑莓研究人员记录了一个新的 活动,它针对的是欧盟国家,特别是其外交机构和系统,这些机构和系统传输有关该地区政治的机密信息,帮助因战争而逃离该国的乌克兰人,以及乌克兰政府。
新的 NOBELIUM 活动为那些对波兰外交部最近访问波兰感兴趣的人创造了诱饵 美国 并积极使用欧盟 LegisWrite 中的官方文件电子交换系统。
APT29 组织在 2020 年 月成为国际头条新闻,当时一次高级供应链攻击使 SolarWinds Orien 软件更新木马化。 它通过传播名为 SunBurst 的后门感染了数千名用户。 从历史上看,NOBELIUM 的目标是政府和非政府组织、分析师、军队、IT 服务提供商、医疗技术和研究以及电信提供商。
此活动的感染媒介是有针对性的 网络钓鱼 带有恶意文档的电子邮件,其中包含下载 HTML 文件的链接。 恶意 URL 托管在一个合法的在线图书馆网站上,专家认为攻击者在 2023 年 月下旬至 月初之间的某个时间破坏了它。
其中一个链接针对那些想了解波兰大使 2023 年工作时间表的人。 他的出现恰逢大使马雷克·马吉罗夫斯基 (Marek Magierowski) 访问美国并在 2 月 日发表讲话,他在讲话中讨论了乌克兰战争。 另一个诱饵使用欧盟国家使用的合法系统进行信息交换和安全数据传输。 例如,LegisWrite 是一种编辑程序,可以在欧盟政府之间安全地交换文件。
恶意电子邮件中使用 LegisWrite 的事实表明 闯入者 专门针对欧盟内部的国家组织。 对恶意 HTML 文件的进一步分析表明,它是 NOBELIUM dropper 的一个版本,称为 ROOTSAW 和 EnvyScout。
一系列操作导致下载名为 BugSplatRc64.dll 的文件,其目的是窃取有关受感染系统的信息,例如所有者的用户名和 IP 地址。 此数据用于生成唯一的受害者标识符,然后将其发送到命令和控制服务器 (C2)。
也很有趣:
此活动的恶意软件交付基于使用已被 APT29 破坏的旧网络基础设施。 使用受感染的合法服务器来托管隐藏的恶意软件会增加在计算机上成功安装的机会 受害者.
基于俄罗斯对乌克兰战争的现状、波兰驻美国大使的访问和他的战争谈话,以及欧盟内部用于交换文件的在线系统的滥用,黑莓专家得出的结论是,NOBELIUM 运动针对的是向乌克兰提供援助的西方国家。
另请阅读: