Is gníomhaí bagairt é grúpa NOBELIUM, ar a dtugtar APT29 freisin, atá nasctha le rialtas na Rúise agus le Seirbhís Faisnéise Eachtrach na Rúise a dhíríonn ar thíortha an Iarthair. Le déanaí, thaifead taighdeoirí BlackBerry ceann nua feachtas, a bhí dírithe ar thíortha an Aontais Eorpaigh, go háirithe, ar a n-institiúidí taidhleoireachta agus córais a tharchuireann faisnéis rúnda faoi pholaitíocht an réigiúin, cabhrú le Ukrainians teitheadh an tír mar gheall ar an chogaidh, agus an rialtas Úcráinis.
Cruthaíonn an feachtas nua NOBELIUM bhaoite dóibh siúd a bhfuil suim acu sa chuairt le déanaí ar an Aireacht Gnóthaí Eachtracha na Polainne chuig Stáit Aontaithe Mheiriceá agus úsáideann sé go gníomhach an córas leictreonach malartaithe doiciméad oifigiúil i LegisWrite an AE.
Rinne an grúpa APT29 ceannlínte idirnáisiúnta ar ais i mí na Nollag 2020 nuair a rinne ionsaí ardleibhéil ar slabhra soláthair nuashonrú bogearraí SolarWinds Orien. Ionfhabhtaigh sé na mílte úsáideoir trí backdoor a scaipeadh ar a dtugtar SunBurst. Go stairiúil, dhírigh NOBELIUM ar eagraíochtaí rialtais agus neamhrialtasacha, anailísithe, míleata, soláthraithe seirbhíse TF, teicneolaíocht leighis agus taighde, agus soláthraithe teileachumarsáide.
Díríodh ar an veicteoir ionfhabhtaithe don fheachtas seo fioscaireacht ríomhphost le doiciméad mailíseach ina bhfuil nasc chun comhad HTML a íoslódáil. Óstáladh na URLanna mailíseacha ar shuíomh dlisteanach leabharlainne ar líne, agus creideann saineolaithe gur chuir na hionsaitheoirí isteach air am éigin idir deireadh Eanáir 2023 agus tús mhí Feabhra.
Tá ceann de na naisc dírithe orthu siúd ar mian leo eolas a fháil ar sceideal oibre ambasadóir na Polainne don bhliain 2023. Tagann a chuma i gcomhthráth le cuairt an Ambasadóir Marek Magierowski go SAM agus an óráid a thug sé an 2 Feabhra, áit ar phléigh sé an cogadh san Úcráin. Úsáideann decoy eile córais dhlisteanacha a úsáidtear i dtíortha an AE le haghaidh malartú faisnéise agus aistriú sonraí slán. Mar shampla, is clár eagarthóireachta é LegisWrite a cheadaíonn malartú slán doiciméad idir rialtais an AE.
Léiríonn an fhíric go n-úsáidtear LegisWrite sa ríomhphost mailíseach sin ionróirí dírithe go sonrach ar eagraíochtaí stáit laistigh den Aontas Eorpach. Léirigh anailís bhreise ar an gcomhad HTML mailíseach gur leagan é den dropper NOBELIUM ar a dtugtar ROOTSAW agus EnvyScout.
Mar thoradh ar an slabhra gníomhartha déantar comhad ar a dtugtar BugSplatRc64.dll a íoslódáil, a bhfuil sé mar aidhm aige faisnéis a ghoid faoin gcóras ionfhabhtaithe, mar shampla ainm úsáideora agus seoladh IP an úinéara. Úsáidtear na sonraí seo chun aitheantóir íospartaigh uathúil a ghiniúint, a sheoltar ansin chuig an bhfreastalaí ordaithe agus rialaithe (C2).
Suimiúil freisin:
Tá seachadadh bogearraí mailíseacha an fheachtais seo bunaithe ar úsáid bhonneagar líonra oidhreachta atá curtha i gcontúirt ag APT29. Má úsáidtear freastalaí dlisteanach i gcontúirt chun malware folaithe a óstáil, méadaítear an seans go n-éireoidh le suiteáil ar ríomhairí íospartaigh.
Bunaithe ar an staid reatha a bhaineann le cogadh na Rúise in aghaidh na hÚcráine, cuairt ambasadóir na Polainne chuig SAM agus a chuid cainteanna faoin gcogadh, chomh maith le mí-úsáid an chórais ar líne a úsáidtear chun doiciméid a mhalartú laistigh den Aontas Eorpach, dúirt saineolaithe BlackBerry. an chonclúid go bhfuil an feachtas NOBELIUM ag díriú go bhfuil tíortha san Iarthar a sholáthraíonn cúnamh don Úcráin.
Léigh freisin: