O grupo NOBELIUM, também conhecido como APT29, é um agente de ameaças ligado ao governo russo e ao Serviço de Inteligência Estrangeira da Rússia que tem como alvo os países ocidentais. Recentemente, os pesquisadores do BlackBerry registraram um novo campanha, que se destinava aos países da União Europeia, em particular, às suas instituições e sistemas diplomáticos que transmitem informações confidenciais sobre a política da região, ajuda aos ucranianos que fogem do país por causa da guerra e ao governo ucraniano.
A nova campanha NOBELIUM cria isca para os interessados na recente visita do Ministério das Relações Exteriores da Polônia para Estados Unidos e usa ativamente o sistema eletrônico de troca de documentos oficiais na EU LegisWrite.
O grupo APT29 ganhou as manchetes internacionais em dezembro de 2020, quando um ataque de cadeia de suprimentos de alto nível trojanizou uma atualização de software SolarWinds Orien. Ele infectou milhares de usuários espalhando um backdoor chamado SunBurst. Historicamente, o NOBELIUM tem como alvo organizações governamentais e não governamentais, analistas, militares, provedores de serviços de TI, tecnologia e pesquisa médica e provedores de telecomunicações.
O vetor de infecção para esta campanha foi direcionado phishing um e-mail com um documento malicioso que contém um link para baixar um arquivo HTML. Os URLs maliciosos foram hospedados em um site de biblioteca online legítimo, e os especialistas acreditam que os invasores o comprometeram em algum momento entre o final de janeiro de 2023 e o início de fevereiro.
Um dos links é dirigido a quem pretende conhecer o horário de trabalho do embaixador da Polónia para 2023. Sua aparição coincide com a visita do Embaixador Marek Magierowski aos EUA e seu discurso em 2 de fevereiro, onde discutiu a guerra na Ucrânia. Outra isca usa sistemas legítimos usados em países da UE para troca de informações e transferência segura de dados. Por exemplo, LegisWrite é um programa de edição que permite a troca segura de documentos entre os governos da UE.
O fato de LegisWrite ser usado no e-mail malicioso indica que intrusos voltado especificamente para organizações estatais dentro da União Européia. Uma análise mais aprofundada do arquivo HTML malicioso revelou que é uma versão do conta-gotas NOBELIUM conhecido como ROOTSAW e EnvyScout.
A cadeia de ações leva ao download de um arquivo chamado BugSplatRc64.dll, cujo objetivo é roubar informações sobre o sistema infectado, como nome de usuário e endereço IP do proprietário. Esses dados são usados para gerar um identificador único de vítima, que é então enviado para o servidor de comando e controle (C2).
Também interessante:
A distribuição de malware desta campanha é baseada no uso da infraestrutura de rede herdada que foi comprometida pelo APT29. Usar um servidor legítimo comprometido para hospedar malware oculto aumenta as chances de instalação bem-sucedida em computadores das vítimas.
Com base na situação atual relacionada à guerra da Rússia contra a Ucrânia, a visita do embaixador polonês aos EUA e suas palestras sobre a guerra, bem como o abuso do sistema online usado para troca de documentos na União Européia, especialistas em BlackBerry concluiu que a campanha NOBELIUM tem como alvo os países ocidentais que prestam assistência à Ucrânia.
Leia também: