Гурӯҳи NOBELIUM, ки бо номи APT29 низ маъруф аст, як омили таҳдиди марбут ба ҳукумати Русия ва Хадамоти истихбороти хориҷии Русия аст, ки кишварҳои ғарбиро ҳадаф қарор медиҳад. Ба наздикӣ муҳаққиқони BlackBerry як наверо сабт карданд маърака, ки ба кишварҳои Иттиҳодияи Аврупо, бахусус, ба ниҳодҳо ва системаҳои дипломатии онҳо, ки маълумоти махфӣ дар бораи сиёсати минтақаро интиқол медиҳанд, ба украинҳое, ки дар натиҷаи ҷанг аз кишвар фирор мекунанд, кӯмак мекунанд ва ҳукумати Украина.
Маъракаи нави NOBELIUM барои онҳое, ки ба сафари ахири Вазорати корҳои хориҷии Полша ба Иёлоти Муттаҳидаи Амрико ва системаи электронии табодули ҳуҷҷатҳои расмиро дар Иттиҳоди Аврупо LegisWrite фаъолона истифода мебарад.
Гурӯҳи APT29 дар моҳи декабри соли 2020, вақте ки як ҳамлаи занҷири таъминоти сатҳи баланд навсозии нармафзори SolarWinds Orien-ро троян кард, сарлавҳаҳои байналмилалиро нашр кард. Он ҳазорон корбаронро тавассути паҳн кардани пушти дарвоза бо номи SunBurst сироят кардааст. Таърихан, NOBELIUM созмонҳои давлатӣ ва ғайриҳукуматӣ, таҳлилгарон, низомиён, провайдерҳои хидматрасонии IT, технологияҳои тиббӣ ва тадқиқотӣ ва провайдерҳои телекоммуникатсионӣро ҳадаф қарор додааст.
Вектори сироят барои ин маърака мавриди ҳадаф қарор гирифт фишинг почтаи электронӣ бо ҳуҷҷати зараровар, ки дорои истинод барои зеркашии файли HTML мебошад. URL-ҳои зараровар дар як сайти қонунии китобхонаи онлайн ҷойгир карда шуданд ва коршиносон бар ин назаранд, ки ҳамлагарон онро замоне аз охири январи соли 2023 то аввали моҳи феврал зери хатар гузоштаанд.
Яке аз пайвандҳо ба онҳое равона шудааст, ки мехоҳанд ҷадвали кории сафири Лаҳистонро барои соли 2023 бидонанд. Намуди зоҳирии ӯ ба сафари сафир Марек Магиеровский ба ИМА ва суханронии рӯзи 2 феврал, ки дар он ҷо ҷанги Украинаро баррасӣ мекард, рост меояд. Боз як фиреби дигар системаҳои қонуниро истифода мебарад, ки дар кишварҳои ИА барои мубодилаи иттилоот ва интиқоли бехатари маълумот истифода мешаванд. Масалан, LegisWrite як барномаи таҳриркунӣ мебошад, ки имкон медиҳад мубодилаи бехатари ҳуҷҷатҳо байни ҳукуматҳои ИА.
Далели он, ки LegisWrite дар почтаи электронии зараровар истифода мешавад, нишон медиҳад вайронкорон махсус ба ташкилотҳои давлатии дохили Иттиҳоди Аврупо нигаронида шудааст. Таҳлили минбаъдаи файли HTML-и зараровар нишон дод, ки он як версияи dropper NOBELIUM бо номи ROOTSAW ва EnvyScout маълум аст.
Силсилаи амалҳо боиси зеркашии файле бо номи BugSplatRc64.dll мегардад, ки ҳадаф аз он дуздидани маълумот дар бораи системаи сироятшуда, аз қабили номи корбар ва суроғаи IP-и соҳиби он мебошад. Ин маълумот барои тавлиди идентификатори беназири ҷабрдида истифода мешавад, ки баъдан ба сервери фармон ва идора (C2) фиристода мешавад.
Инчунин ҷолиб:
Интиқоли нармафзори зараровар дар ин маърака ба истифодаи инфрасохтори шабакавии кӯҳна асос ёфтааст, ки аз ҷониби APT29 осеб дидааст. Истифодаи сервери қонунии осебдида барои ҷойгир кардани нармафзори зараровари пинҳон имкони насби бомуваффақият дар компютерҳоро зиёд мекунад қурбониён.
Коршиносони BlackBerry бо назардошти вазъи кунунии марбут ба ҷанги Русия алайҳи Украина, сафари сафири Лаҳистон дар ИМА ва гуфтугӯҳои ӯ дар бораи ҷанг, инчунин сӯиистифода аз низоми онлайн барои табодули аснод дар дохили Иттиҳодияи Аврупо, Ба хулосае омад, ки маъракаи NOBELIUM дар он ҷо кишварҳои ғарбӣ ҳастанд, ки ба Украина кӯмак мерасонанд.
Ҳамчунин хонед: