گروه NOBELIUM که با نام APT29 نیز شناخته می شود، یک بازیگر تهدید کننده مرتبط با دولت روسیه و سرویس اطلاعات خارجی روسیه است که کشورهای غربی را هدف قرار می دهد. اخیراً محققان بلک بری مورد جدیدی را ثبت کرده اند پویشکه هدف آن کشورهای اتحادیه اروپا بود، به ویژه نهادها و سیستم های دیپلماتیک آنها که اطلاعات محرمانه در مورد سیاست منطقه را مخابره می کنند، به اوکراینی هایی که به دلیل جنگ از کشور فرار می کنند و به دولت اوکراین کمک می کند.
کمپین جدید NOBELIUM طعمه ای را برای علاقه مندان به سفر اخیر وزارت امور خارجه لهستان به این کشور ایجاد می کند ایالات متحده و فعالانه از سیستم الکترونیکی تبادل اسناد رسمی در EU LegisWrite استفاده می کند.
گروه APT29 در دسامبر 2020، زمانی که یک حمله زنجیره تامین سطح بالا، یک بهروزرسانی نرمافزار SolarWinds Orien را تروجانسازی کرد، به سرفصلهای بینالمللی تبدیل شد. هزاران کاربر را با انتشار یک درب پشتی به نام SunBurst آلوده کرد. از لحاظ تاریخی، NOBELIUM سازمان های دولتی و غیر دولتی، تحلیلگران، ارتش، ارائه دهندگان خدمات فناوری اطلاعات، فناوری و تحقیقات پزشکی و ارائه دهندگان مخابرات را هدف قرار داده است.
ناقل عفونت برای این کمپین مورد هدف قرار گرفت فیشینگ یک ایمیل با یک سند مخرب که حاوی پیوندی برای دانلود یک فایل HTML است. نشانیهای اینترنتی مخرب در یک سایت کتابخانه آنلاین قانونی میزبانی شدهاند و کارشناسان معتقدند مهاجمان بین اواخر ژانویه 2023 تا اوایل فوریه آن را به خطر انداختهاند.
یکی از لینک ها برای کسانی است که می خواهند از برنامه کاری سفیر لهستان برای سال 2023 مطلع شوند. حضور او همزمان با سفر سفیر مارک ماژیروفسکی به ایالات متحده آمریکا و سخنرانی او در 2 فوریه است که در آن درباره جنگ در اوکراین بحث کرد. یک فریب دیگر از سیستم های قانونی مورد استفاده در کشورهای اتحادیه اروپا برای تبادل اطلاعات و انتقال امن داده ها استفاده می کند. به عنوان مثال، LegisWrite یک برنامه ویرایش است که تبادل امن اسناد را بین دولت های اتحادیه اروپا امکان پذیر می کند.
این واقعیت که LegisWrite در ایمیل های مخرب استفاده می شود نشان دهنده آن است مزاحمان به طور خاص سازمان های دولتی در اتحادیه اروپا را هدف قرار داده است. تجزیه و تحلیل بیشتر فایل HTML مخرب نشان داد که این یک نسخه از قطره چکان NOBELIUM است که با نام های ROOTSAW و EnvyScout شناخته می شود.
زنجیره اقدامات منجر به دانلود فایلی به نام BugSplatRc64.dll می شود که هدف از آن سرقت اطلاعات مربوط به سیستم آلوده مانند نام کاربری و آدرس IP مالک است. از این داده ها برای تولید یک شناسه قربانی منحصر به فرد استفاده می شود که سپس به سرور فرمان و کنترل (C2) ارسال می شود.
همچنین جالب:
تحویل بدافزار این کمپین مبتنی بر استفاده از زیرساخت شبکه قدیمی است که توسط APT29 در معرض خطر قرار گرفته است. استفاده از یک سرور قانونی در معرض خطر برای میزبانی بدافزار پنهان، شانس نصب موفقیت آمیز در رایانه را افزایش می دهد. قربانیان.
کارشناسان بلک بری با توجه به شرایط کنونی مربوط به جنگ روسیه علیه اوکراین، سفر سفیر لهستان به آمریکا و صحبت های وی در مورد جنگ و همچنین سوء استفاده از سیستم آنلاین مورد استفاده برای تبادل اسناد در اتحادیه اروپا به این نتیجه رسیدند که کمپین نوبلیوم کشورهای غربی را هدف قرار می دهد که به اوکراین کمک می کنند.
همچنین بخوانید: