APT29로도 알려진 NOBELIUM 그룹은 서방 국가를 표적으로 삼는 러시아 정부 및 러시아 해외 정보국과 연결된 위협 행위자입니다. 최근에 BlackBerry 연구원들은 새로운 것을 기록했습니다. 운동, 특히 유럽 연합 국가, 특히 지역 정치에 대한 기밀 정보를 전송하는 외교 기관 및 시스템을 대상으로 전쟁으로 인해 국가를 탈출하는 우크라이나 인과 우크라이나 정부를 돕습니다.
새로운 NOBELIUM 캠페인은 폴란드 외무부의 최근 방문에 관심이 있는 사람들을 위한 미끼를 만듭니다. 미국 EU LegisWrite의 공식 문서 교환 전자 시스템을 적극적으로 사용합니다.
APT29 그룹은 2020년 월 높은 수준의 공급망 공격이 SolarWinds Orien 소프트웨어 업데이트를 트로이 목마로 만들었을 때 국제적인 헤드라인을 장식했습니다. SunBurst라는 백도어를 유포하여 수천 명의 사용자를 감염시켰습니다. 역사적으로 NOBELIUM은 정부 및 비정부 조직, 분석가, 군대, IT 서비스 제공업체, 의료 기술 및 연구, 통신 제공업체를 표적으로 삼았습니다.
이 캠페인의 감염 매개체는 표적이 되었습니다. 피싱 HTML 파일을 다운로드할 수 있는 링크가 포함된 악성 문서가 포함된 이메일. 악성 URL은 합법적인 온라인 라이브러리 사이트에서 호스팅되었으며 전문가들은 공격자가 2023년 월 말에서 월 초 사이에 이 사이트를 손상시킨 것으로 보고 있습니다.
링크 중 하나는 2023년 폴란드 대사의 업무 일정을 알고 싶은 사람들을 대상으로 합니다. 그의 등장은 2월 일 마렉 마지에로브스키 대사의 미국 방문과 우크라이나 전쟁에 대해 논의한 연설과 일치한다. 또 다른 미끼는 정보 교환 및 안전한 데이터 전송을 위해 EU 국가에서 사용되는 합법적인 시스템을 사용합니다. 예를 들어 LegisWrite는 EU 정부 간에 문서를 안전하게 교환할 수 있게 해주는 편집 프로그램입니다.
악성 이메일에 LegisWrite가 사용되었다는 사실은 침입자 특히 유럽 연합 내의 국가 조직을 대상으로 합니다. 악성 HTML 파일에 대한 추가 분석은 이것이 ROOTSAW 및 EnvyScout으로 알려진 NOBELIUM 드롭퍼 버전임을 밝혔습니다.
일련의 작업을 통해 BugSplatRc64.dll이라는 파일을 다운로드할 수 있습니다. 이 파일의 목적은 소유자의 사용자 이름 및 IP 주소와 같은 감염된 시스템에 대한 정보를 도용하는 것입니다. 이 데이터는 고유한 피해자 식별자를 생성하는 데 사용되며 명령 및 제어 서버(C2)로 전송됩니다.
또한 흥미로운 점:
이 캠페인의 맬웨어 전달은 APT29에 의해 손상된 레거시 네트워크 인프라의 사용을 기반으로 합니다. 손상된 합법적 서버를 사용하여 숨겨진 맬웨어를 호스팅하면 컴퓨터에 성공적으로 설치될 가능성이 높아집니다. 희생자들.
블랙베리 전문가들은 러시아의 우크라이나 전쟁과 관련된 현 상황, 미국 주재 폴란드 대사의 방문과 그의 전쟁에 대한 이야기, 유럽 연합 내에서 문서 교환에 사용되는 온라인 시스템의 남용을 바탕으로 블랙베리 전문가들은 NOBELIUM 캠페인이 우크라이나에 원조를 제공하는 서방 국가를 목표로 하고 있다는 결론을 내렸습니다.
또한 읽기: