Il gruppo NOBELIUM, noto anche come APT29, è un attore di minaccia legato al governo russo e al servizio di intelligence estero russo che prende di mira i paesi occidentali. Di recente, i ricercatori BlackBerry ne hanno registrato uno nuovo campagna, rivolto ai paesi dell'Unione Europea, in particolare alle loro istituzioni e sistemi diplomatici che trasmettono informazioni riservate sulla politica della regione, aiutano gli ucraini in fuga dal paese a causa della guerra e il governo ucraino.
La nuova campagna NOBELIUM crea un'esca per coloro che sono interessati alla recente visita del Ministero degli Affari Esteri polacco a Stati Uniti e utilizza attivamente il sistema elettronico di scambio di documenti ufficiali nell'UE LegisWrite.
Il gruppo APT29 ha fatto notizia a livello internazionale nel dicembre 2020, quando un attacco di alto livello alla catena di approvvigionamento ha trojanizzato un aggiornamento del software SolarWinds Orien. Ha infettato migliaia di utenti diffondendo una backdoor chiamata SunBurst. Storicamente, NOBELIUM ha preso di mira organizzazioni governative e non governative, analisti, militari, fornitori di servizi IT, tecnologia e ricerca medica e fornitori di telecomunicazioni.
Il vettore di infezione per questa campagna è stato preso di mira phishing un'e-mail con un documento dannoso che contiene un collegamento per scaricare un file HTML. Gli URL dannosi erano ospitati su un sito di biblioteca online legittimo e gli esperti ritengono che gli aggressori lo abbiano compromesso tra la fine di gennaio 2023 e l'inizio di febbraio.
Uno dei link è rivolto a chi vuole conoscere il programma di lavoro dell'ambasciatore di Polonia per il 2023. La sua apparizione coincide con la visita dell'ambasciatore Marek Magierowski negli Stati Uniti e il suo discorso del 2 febbraio, dove ha discusso della guerra in Ucraina. Un altro esca utilizza sistemi legittimi utilizzati nei paesi dell'UE per lo scambio di informazioni e il trasferimento sicuro dei dati. Ad esempio, LegisWrite è un programma di editing che consente lo scambio sicuro di documenti tra i governi dell'UE.
Il fatto che LegisWrite sia utilizzato nell'e-mail dannosa lo indica intrusi rivolto specificamente alle organizzazioni statali all'interno dell'Unione europea. Ulteriori analisi del file HTML dannoso hanno rivelato che si tratta di una versione del contagocce NOBELIUM noto come ROOTSAW e EnvyScout.
La catena di azioni porta al download di un file chiamato BugSplatRc64.dll, il cui scopo è rubare informazioni sul sistema infetto, come il nome utente e l'indirizzo IP del proprietario. Questi dati vengono utilizzati per generare un identificatore univoco della vittima, che viene quindi inviato al server di comando e controllo (C2).
Interessante anche:
La consegna del malware di questa campagna si basa sull'uso dell'infrastruttura di rete legacy che è stata compromessa da APT29. L'utilizzo di un server legittimo compromesso per ospitare malware nascosto aumenta le possibilità di installazione riuscita sui computer le vittime.
Sulla base dell'attuale situazione relativa alla guerra della Russia contro l'Ucraina, della visita dell'ambasciatore polacco negli Stati Uniti e dei suoi discorsi sulla guerra, nonché dell'abuso del sistema online utilizzato per lo scambio di documenti all'interno dell'Unione europea, gli esperti di BlackBerry ha concluso che la campagna NOBELIUM si rivolge a paesi occidentali che forniscono assistenza all'Ucraina.
Leggi anche: