NOBELIUM խումբը, որը նաև հայտնի է որպես APT29, սպառնալիքի դերակատար է, որը կապված է Ռուսաստանի կառավարության և Ռուսաստանի արտաքին հետախուզության ծառայության հետ, որը թիրախավորում է արևմտյան երկրները: Վերջերս BlackBerry-ի հետազոտողները նորը գրանցեցին քարոզարշավը, որն ուղղված էր Եվրամիության երկրներին, մասնավորապես՝ նրանց դիվանագիտական հաստատություններին և համակարգերին, որոնք գաղտնի տեղեկատվություն են փոխանցում տարածաշրջանի քաղաքականության մասին, օգնում են ուկրաինացիներին, ովքեր փախչում են երկրից պատերազմի պատճառով, և Ուկրաինայի կառավարությանը։
Նոր NOBELIUM արշավը խայծ է ստեղծում Լեհաստանի արտաքին գործերի նախարարության վերջին այցով հետաքրքրվողների համար ԱՄՆ և ակտիվորեն օգտագործում է ԵՄ LegisWrite-ում պաշտոնական փաստաթղթերի փոխանակման էլեկտրոնային համակարգը:
APT29 խումբը դարձավ միջազգային վերնագրեր դեռևս 2020 թվականի դեկտեմբերին, երբ բարձր մակարդակի մատակարարման շղթայի հարձակումը տրոյականացրեց SolarWinds Orien ծրագրային ապահովման թարմացումը: Այն վարակել է հազարավոր օգտատերերի՝ տարածելով SunBurst կոչվող ետնադուռը: Պատմականորեն NOBELIUM-ը թիրախավորել է պետական և ոչ կառավարական կազմակերպությունները, վերլուծաբանները, զինվորականները, ՏՏ ծառայություններ մատուցողները, բժշկական տեխնոլոգիաները և հետազոտությունները և հեռահաղորդակցության մատակարարները:
Այս քարոզարշավի վարակի վեկտորը թիրախավորված էր ֆիշինգ նամակ՝ վնասակար փաստաթղթով, որը պարունակում է HTML ֆայլ ներբեռնելու հղում: Վնասակար URL-ները տեղադրվել են օրինական առցանց գրադարանի կայքում, և փորձագետները կարծում են, որ հարձակվողները վնասել են այն 2023 թվականի հունվարի վերջից մինչև փետրվարի սկիզբը:
Հղումներից մեկն ուղղված է նրանց, ովքեր ցանկանում են իմանալ Լեհաստանի դեսպանի 2023 թվականի աշխատանքային գրաֆիկը։ Նրա հայտնվելը համընկնում է դեսպան Մարեկ Մագիերովսկու ԱՄՆ կատարած այցի և փետրվարի 2-ի ելույթի հետ, որտեղ նա քննարկում էր ուկրաինական պատերազմը։ Մեկ այլ խաբեություն օգտագործում է օրինական համակարգեր, որոնք օգտագործվում են ԵՄ երկրներում տեղեկատվության փոխանակման և տվյալների անվտանգ փոխանցման համար: Օրինակ, LegisWrite-ը խմբագրման ծրագիր է, որը թույլ է տալիս փաստաթղթերի անվտանգ փոխանակում ԵՄ կառավարությունների միջև:
Այն փաստը, որ LegisWrite-ն օգտագործվում է վնասակար էլ ներխուժողները ուղղված հատկապես Եվրոպական միության կազմում գտնվող պետական կազմակերպություններին: Վնասակար HTML ֆայլի հետագա վերլուծությունը ցույց է տվել, որ դա NOBELIUM կաթիլիչի տարբերակ է, որը հայտնի է որպես ROOTSAW և EnvyScout:
Գործողությունների շղթան հանգեցնում է BugSplatRc64.dll կոչվող ֆայլի ներբեռնմանը, որի նպատակն է գողանալ վարակված համակարգի մասին տեղեկություններ, ինչպիսիք են օգտատիրոջ անունը և IP հասցեն: Այս տվյալները օգտագործվում են զոհի եզակի նույնացուցիչ ստեղծելու համար, որն այնուհետև ուղարկվում է հրամանի և կառավարման սերվեր (C2):
Հետաքրքիր է նաև.
Այս արշավի չարամիտ ծրագրերի առաքումը հիմնված է հին ցանցային ենթակառուցվածքի օգտագործման վրա, որը վտանգված է APT29-ի կողմից: Վտանգված օրինական սերվերի օգտագործումը թաքնված չարամիտ ծրագրեր տեղադրելու համար մեծացնում է համակարգիչների վրա հաջող տեղադրման հնարավորությունները զոհերը.
Ելնելով Ուկրաինայի դեմ Ռուսաստանի պատերազմին առնչվող ներկա իրավիճակից, Լեհաստանի դեսպանի այցից և պատերազմի մասին նրա խոսակցություններից, ինչպես նաև Եվրամիության ներսում փաստաթղթերի փոխանակման համար օգտագործվող առցանց համակարգի չարաշահումից, BlackBerry-ի փորձագետները. եզրակացրել է, որ NOBELIUM արշավի թիրախում կան արևմտյան երկրներ, որոնք օգնություն են տրամադրում Ուկրաինային։
Կարդացեք նաև.