APT29 nomi bilan ham tanilgan NOBELIUM guruhi Rossiya hukumati va Rossiya Tashqi razvedka xizmati bilan bogʻliq boʻlib, Gʻarb davlatlarini nishonga olgan. Yaqinda BlackBerry tadqiqotchilari yangisini yozib olishdi kampaniyaEvropa Ittifoqi mamlakatlariga, xususan, mintaqa siyosati haqida maxfiy ma'lumotlarni uzatuvchi, urush tufayli mamlakatni tark etgan ukrainaliklarga yordam beradigan diplomatik institutlari va tizimlariga va Ukraina hukumatiga qaratilgan edi.
Yangi NOBELIUM kampaniyasi Polsha Tashqi ishlar vazirligining yaqinda bo'lgan tashrifiga qiziquvchilar uchun o'lja yaratadi. AQSh va Evropa Ittifoqining LegisWrite rasmiy hujjatlarini almashishning elektron tizimidan faol foydalanadi.
APT29 guruhi 2020 yil dekabr oyida yuqori darajadagi ta'minot zanjiri hujumi SolarWinds Orien dasturiy ta'minoti yangilanishini troyanizatsiya qilganda xalqaro sarlavhalarni yaratdi. SunBurst deb nomlangan orqa eshikni yoyish orqali minglab foydalanuvchilarni yuqtirdi. Tarixan NOBELIUM hukumat va nodavlat tashkilotlari, tahlilchilar, harbiylar, IT-xizmat ko‘rsatuvchi provayderlar, tibbiy texnologiyalar va tadqiqotlar hamda telekommunikatsiya provayderlarini nishonga olgan.
Ushbu kampaniya uchun infektsiya vektori maqsadli edi fishing HTML faylni yuklab olish uchun havolani o'z ichiga olgan zararli hujjatga ega elektron pochta. Zararli URL manzillar qonuniy onlayn kutubxona saytida joylashtirilgan va ekspertlarning fikricha, tajovuzkorlar uni 2023-yil yanvar oyi oxiri va fevral oyi boshlari orasida buzgan.
Havolalardan biri Polsha elchisining 2023 yilgi ish jadvalini bilmoqchi bo'lganlar uchun mo'ljallangan. Uning chiqishi elchi Marek Magierovskiyning AQShga tashrifi va 2 fevral kuni Ukrainadagi urushni muhokama qilgan nutqi bilan bir vaqtga to'g'ri keldi. Yana bir hiyla-nayrang ma'lumotlar almashinuvi va xavfsiz ma'lumotlarni uzatish uchun Evropa Ittifoqi mamlakatlarida qo'llaniladigan qonuniy tizimlardan foydalanadi. Masalan, LegisWrite - bu Evropa Ittifoqi hukumatlari o'rtasida hujjatlarni xavfsiz almashish imkonini beruvchi tahrirlash dasturi.
Zararli elektron pochtada LegisWrite ishlatilayotgani shundan dalolat beradi bosqinchilar Yevropa Ittifoqidagi davlat tashkilotlariga qaratilgan. Zararli HTML-faylning keyingi tahlili shuni ko'rsatdiki, bu ROOTSAW va EnvyScout deb nomlanuvchi NOBELIUM tomchisi versiyasidir.
Harakatlar zanjiri BugSplatRc64.dll nomli faylni yuklab olishga olib keladi, uning maqsadi foydalanuvchi nomi va egasining IP manzili kabi zararlangan tizim haqidagi ma'lumotlarni o'g'irlashdir. Ushbu ma'lumotlar qurbonning noyob identifikatorini yaratish uchun ishlatiladi, keyinchalik u buyruq va boshqaruv serveriga (C2) yuboriladi.
Shuningdek, qiziqarli:
Ushbu kampaniyaning zararli dasturlarini yetkazib berish APT29 tomonidan buzilgan eski tarmoq infratuzilmasidan foydalanishga asoslangan. Yashirin zararli dasturlarni joylashtirish uchun buzilgan qonuniy serverdan foydalanish kompyuterlarga muvaffaqiyatli o'rnatish imkoniyatini oshiradi qurbonlar.
BlackBerry ekspertlari Rossiyaning Ukrainaga qarshi urushi, Polsha elchisining AQShga tashrifi va uning urush haqidagi muzokaralari, shuningdek, Yevropa Ittifoqi doirasida hujjatlar almashinuvi uchun foydalaniladigan onlayn tizimdan suiisteʼmol qilinishi bilan bogʻliq mavjud vaziyatga asoslanib, NOBELIUM kampaniyasi Ukrainaga yordam ko'rsatayotgan G'arb davlatlari bor degan xulosaga keldi.
Shuningdek o'qing:
Leave a Reply