В начале марта исследователи BlackBerry заметили новую кампанию, направленную на страны Европейского союза; в частности, на его дипломатические учреждения и системы, передающие секретную информацию о политике региона, помощи украинским гражданам, бегущим из страны, и помощи правительству Украины.
NOBELIUM (APT29) APT
NOBELIUM - это передовая группа постоянных угроз, также известная как APT29, которая публично приписывается российскому правительству и, в частности, Службе внешней разведки Российской Федерации (СВР), организации, ответственной за сбор разведывательной информации за пределами России, включая электронное наблюдение.
Хотя ее фишинговые кампании не отличаются особой изощренностью, APT29 известна своей ловкостью, когда она оказывается в сети цели. Ее операторы известны своей скрытностью, исключительной терпеливостью и умением использовать инновационные методы вторжения с использованием технологий и служб Microsoft. Эта угрожающая группа попала в заголовки международных новостей в декабре 2020 года, когда в результате атаки на высокопоставленных поставщиков троянским образом было обновлено программное обеспечение SolarWinds Orien. Компрометация затронула тысячи пользователей, распространив бэкдор под названием SunBurst.
Новая кампания NOBELIUM, за которой наблюдала BlackBerry, создает замануху для тех, кто интересуется недавним визитом Министерства иностранных дел Польши в США, и злоупотребляет законной электронной системой обмена официальными документами в ЕС под названием LegisWrite. Она частично пересекается с предыдущей кампанией, обнаруженной исследователями в октябре 2022 года.
NOBELIUM также известен как Cozy Bear и The Dukes, а в отраслевых отчетах эта группа ранее упоминалась как StellarParticle, UNC2452 и Dark Halo. Исторически NOBELIUM атаковала правительственные организации, неправительственные организации, аналитические центры, военных, поставщиков ИТ-услуг, медицинские технологии и исследования, а также поставщиков телекоммуникационных услуг.
Вектором заражения в этой конкретной кампании является целевое фишинговое письмо, содержащее вредоносный документ. Вредоносный документ содержит ссылку, ведущую на загрузку HTML-файла.
- hxxps[:]//literaturaelsalvador[.]com/Instructions[.]html
- hxxps[:]//literaturaelsalvador[.]com/Schedule[.]html
Приведенные выше URL-адреса размещены на легальном сайте онлайн-библиотеки, расположенной в Сальвадоре в Центральной Америке. Мы считаем, что угрожающий субъект взломал этот сайт в период с конца января 2023 года по начало февраля 2023 года.
Одна из приманок обращается к тем, кто хочет узнать расписание посла Польши на 2023 год. Оно пересекается с недавним визитом посла Марека Магеровского в США.
Indicators of Compromise
IPv4
- 108.167.180.186
URLs
- https://literaturaelsalvador.com/Instructions.html
- https://literaturaelsalvador.com/Schedule.html
MD5
- 38b05aa4b5ba651ba95f7173c5145270
- 67a6774fbc01eb838db364d4aa946a98
- 82ecb8474efe5fedcb8f57b8aafa93d2
- 89f716d32461880cd0359ffbb902f06e
- 8d5c0f69c1caa29f8990fbc440ab3388
- cf36bf564fbb7d5ec4cec9b0f185f6c9
- e0cb8157e6791390463714b38158195a
- e693777a3a85583a1bbbd569415be09c
SHA256
- 21a0b617431850a9ea2698515c277cbd95de4e59c493d0d8f194f3808eb16354
- 3a489ef91058620951cb185ec548b67f2b8d047e6fdb7638645ec092fc89a835
- 4d92a4cecb62d237647a20d2cdfd944d5a29c1a14b274d729e9c8ccca1f0b68b
- 505f1e5aed542e8bfdb0052bbe8d3a2a9b08fc66ae49efbc9d9188a44c3870ed
- c1ebaee855b5d9b67657f45d6d764f3c1e46c1fa6214329a3b51d14eba336256
- dbb39c2f143265ad86946d1c016226b0e01614af35a2c666afa44ac43b76b276
- dffaefaabbcf6da029f927e67e38c0d1e6271bf998040cfd6d8c50a4eff639df
- e957326b2167fa7ccd508cbf531779a28bfce75eb2635ab81826a522979aeb98