Le groupe NOBELIUM, également connu sous le nom d'APT29, est un acteur menaçant lié au gouvernement russe et au service russe de renseignement extérieur qui cible les pays occidentaux. Récemment, les chercheurs de BlackBerry en ont enregistré un nouveau campagne, qui visait les pays de l'Union européenne, en particulier leurs institutions et systèmes diplomatiques qui transmettent des informations confidentielles sur la politique de la région, aident les Ukrainiens fuyant le pays à cause de la guerre, et le gouvernement ukrainien.
La nouvelle campagne NOBELIUM constitue un appât pour ceux qui s'intéressent à la récente visite du ministère polonais des Affaires étrangères à Etats-Unis et utilise activement le système électronique d'échange de documents officiels de l'UE LegisWrite.
Le groupe APT29 a fait la une des journaux internationaux en décembre 2020 lorsqu'une attaque de haut niveau de la chaîne d'approvisionnement a piraté une mise à jour du logiciel SolarWinds Orien. Il a infecté des milliers d'utilisateurs en diffusant une porte dérobée appelée SunBurst. Historiquement, NOBELIUM a ciblé les organisations gouvernementales et non gouvernementales, les analystes, les militaires, les fournisseurs de services informatiques, la technologie et la recherche médicales et les fournisseurs de télécommunications.
Le vecteur d'infection de cette campagne était ciblé Hameçonnage un e-mail avec un document malveillant contenant un lien pour télécharger un fichier HTML. Les URL malveillantes étaient hébergées sur un site de bibliothèque en ligne légitime, et les experts pensent que les attaquants l'ont compromis entre fin janvier 2023 et début février.
L'un des liens s'adresse à ceux qui souhaitent connaître le calendrier de travail de l'ambassadeur de Pologne pour 2023. Son apparition coïncide avec la visite de l'ambassadeur Marek Magierowski aux États-Unis et son discours du 2 février, où il a évoqué la guerre en Ukraine. Un autre leurre utilise des systèmes légitimes utilisés dans les pays de l'UE pour l'échange d'informations et le transfert sécurisé de données. Par exemple, LegisWrite est un programme d'édition qui permet l'échange sécurisé de documents entre les gouvernements de l'UE.
Le fait que LegisWrite soit utilisé dans l'e-mail malveillant indique que les intrus s'adressant spécifiquement aux organisations étatiques au sein de l'Union européenne. Une analyse plus approfondie du fichier HTML malveillant a révélé qu'il s'agissait d'une version du compte-gouttes NOBELIUM connue sous le nom de ROOTSAW et EnvyScout.
La chaîne d'actions conduit au téléchargement d'un fichier appelé BugSplatRc64.dll, dont le but est de voler des informations sur le système infecté, telles que le nom d'utilisateur et l'adresse IP du propriétaire. Ces données sont utilisées pour générer un identifiant de victime unique, qui est ensuite envoyé au serveur de commande et de contrôle (C2).
Intéressant aussi :
La distribution de logiciels malveillants de cette campagne est basée sur l'utilisation d'une infrastructure réseau héritée qui a été compromise par APT29. L'utilisation d'un serveur légitime compromis pour héberger des logiciels malveillants cachés augmente les chances de réussite de l'installation sur les ordinateurs victimes.
Sur la base de la situation actuelle liée à la guerre de la Russie contre l'Ukraine, de la visite de l'ambassadeur de Pologne aux États-Unis et de ses entretiens sur la guerre, ainsi que de l'abus du système en ligne utilisé pour l'échange de documents au sein de l'Union européenne, les experts de BlackBerry a conclu que la campagne NOBELIUM vise il y a des pays occidentaux qui fournissent de l'aide à l'Ukraine.
Lisez aussi: