APT29 としても知られる NOBELIUM グループは、ロシア政府とロシアの対外情報局に関連する脅威アクターであり、西側諸国を標的にしています。 最近、BlackBerry の研究者が新しいものを記録しました。 運動、これは、欧州連合の国々、特に、地域の政治に関する機密情報を送信する外交機関やシステムを対象としており、戦争とウクライナ政府のためにウクライナ人が国を逃れるのを助けます.
新しい NOBELIUM キャンペーンは、ポーランド外務省の最近の訪問に関心のある人々の餌となります。 アメリカ また、EU LegisWrite の公式文書交換の電子システムを積極的に使用しています。
APT29 グループは、2020 年 月に高レベルのサプライ チェーン攻撃が SolarWinds Orien ソフトウェア アップデートをトロイの木馬化したときに国際的な見出しを作りました。 SunBurst と呼ばれるバックドアを拡散することで、何千人ものユーザーに感染しました。 歴史的に、NOBELIUM は政府および非政府組織、アナリスト、軍隊、IT サービス プロバイダー、医療技術および研究、通信プロバイダーを標的にしてきました。
このキャンペーンの感染経路は標的にされていました フィッシング HTML ファイルをダウンロードするためのリンクを含む悪意のあるドキュメントを含む電子メール。 悪意のある URL は正規のオンライン ライブラリ サイトでホストされており、専門家は、攻撃者が 2023 年 月下旬から 月上旬の間に侵入したと考えています。
リンクの 2023 つは、2 年のポーランド大使の勤務スケジュールを知りたい人を対象としています。 彼の出演は、マレク・マジェロフスキ大使の米国訪問と、ウクライナでの戦争について話し合った 月 日の演説と一致しています。 別のおとりは、EU 諸国で使用されている正当なシステムを使用して、情報交換と安全なデータ転送を行います。 たとえば、LegisWrite は、EU 政府間で文書を安全に交換できるようにする編集プログラムです。
悪意のあるメールで LegisWrite が使用されているという事実は、 侵入者 特に欧州連合内の国家機関を対象としています。 悪意のある HTML ファイルをさらに分析したところ、ROOTSAW および EnvyScout として知られる NOBELIUM ドロッパーのバージョンであることが明らかになりました。
アクションの連鎖により、BugSplatRc64.dll というファイルがダウンロードされます。このファイルの目的は、所有者のユーザー名や IP アドレスなど、感染したシステムに関する情報を盗むことです。 このデータを使用して一意の被害者 ID が生成され、コマンド アンド コントロール サーバー (C2) に送信されます。
また興味深い:
このキャンペーンのマルウェア配信は、APT29 によって侵害されたレガシー ネットワーク インフラストラクチャの使用に基づいています。 侵害された正当なサーバーを使用して隠れたマルウェアをホストすると、コンピューターへのインストールが成功する可能性が高くなります 犠牲者の.
ロシアのウクライナに対する戦争、駐米ポーランド大使の訪問と戦争に関する彼の会談、および欧州連合内での文書交換に使用されるオンラインシステムの悪用に関連する現在の状況に基づいて、BlackBerry の専門家は、 NOBELIUMキャンペーンは、ウクライナに支援を提供している西側諸国を標的にしていると結論付けました。
また読む: