NOBELIUM समूह, जिसे APT29 के रूप में भी जाना जाता है, रूसी सरकार और रूसी विदेशी खुफिया सेवा से जुड़ा एक खतरा कारक है जो पश्चिमी देशों को लक्षित करता है। हाल ही में, ब्लैकबेरी शोधकर्ताओं ने एक नया रिकॉर्ड किया अभियान, जिसका उद्देश्य यूरोपीय संघ के देशों, विशेष रूप से, उनके राजनयिक संस्थानों और प्रणालियों पर था, जो क्षेत्र की राजनीति के बारे में गोपनीय जानकारी प्रसारित करते हैं, यूक्रेनियन को युद्ध के कारण देश से भागने में मदद करते हैं, और यूक्रेनी सरकार।
नया नोबेलियम अभियान पोलिश विदेश मंत्रालय की हालिया यात्रा में रुचि रखने वालों के लिए चारा बनाता है अमेरिका और यूरोपीय संघ LegisWrite में आधिकारिक दस्तावेजों के आदान-प्रदान की इलेक्ट्रॉनिक प्रणाली का सक्रिय रूप से उपयोग करता है।
APT29 समूह ने दिसंबर 2020 में अंतरराष्ट्रीय सुर्खियां बटोरीं, जब एक उच्च-स्तरीय आपूर्ति श्रृंखला हमले ने सोलरविंड्स ओरियन सॉफ़्टवेयर अपडेट को ट्रोजन कर दिया। इसने सनबर्स्ट नामक पिछले दरवाजे को फैलाकर हजारों उपयोगकर्ताओं को संक्रमित किया। ऐतिहासिक रूप से, नोबेलियम ने सरकारी और गैर-सरकारी संगठनों, विश्लेषकों, सेना, आईटी सेवा प्रदाताओं, चिकित्सा प्रौद्योगिकी और अनुसंधान, और दूरसंचार प्रदाताओं को लक्षित किया है।
इस अभियान के लिए संक्रमण वेक्टर को लक्षित किया गया था फ़िशिंग दुर्भावनापूर्ण दस्तावेज़ वाला एक ईमेल जिसमें HTML फ़ाइल डाउनलोड करने के लिए एक लिंक होता है। दुर्भावनापूर्ण URL एक वैध ऑनलाइन लाइब्रेरी साइट पर होस्ट किए गए थे, और विशेषज्ञों का मानना है कि हमलावरों ने जनवरी 2023 के अंत और फरवरी की शुरुआत के बीच किसी समय समझौता किया था।
लिंक में से एक उन लोगों के लिए लक्षित है जो 2023 के लिए पोलैंड के राजदूत के कार्यसूची को जानना चाहते हैं। उनकी उपस्थिति संयुक्त राज्य अमेरिका में राजदूत मारेक मैगिएरोव्स्की की यात्रा और 2 फरवरी को उनके भाषण के साथ मेल खाती है, जहां उन्होंने यूक्रेन में युद्ध पर चर्चा की थी। एक अन्य फंदा सूचना के आदान-प्रदान और सुरक्षित डेटा हस्तांतरण के लिए यूरोपीय संघ के देशों में उपयोग की जाने वाली वैध प्रणालियों का उपयोग करता है। उदाहरण के लिए, LegisWrite एक संपादन प्रोग्राम है जो यूरोपीय संघ की सरकारों के बीच दस्तावेज़ों के सुरक्षित आदान-प्रदान को सक्षम बनाता है।
तथ्य यह है कि दुर्भावनापूर्ण ईमेल में LegisWrite का उपयोग किया जाता है, यह इंगित करता है घुसपैठिए विशेष रूप से यूरोपीय संघ के भीतर राज्य संगठनों के उद्देश्य से। दुर्भावनापूर्ण HTML फ़ाइल के आगे के विश्लेषण से पता चला कि यह NOBELIUM ड्रॉपर का एक संस्करण है जिसे ROOTSAW और EnvyScout के रूप में जाना जाता है।
क्रियाओं की श्रृंखला BugSplatRc64.dll नामक फ़ाइल के डाउनलोड की ओर ले जाती है, जिसका उद्देश्य संक्रमित सिस्टम के बारे में जानकारी चुराना है, जैसे कि उपयोगकर्ता का नाम और स्वामी का IP पता। इस डेटा का उपयोग एक विशिष्ट शिकार पहचानकर्ता उत्पन्न करने के लिए किया जाता है, जिसे बाद में कमांड और कंट्रोल सर्वर (C2) को भेजा जाता है।
यह भी दिलचस्प:
इस अभियान की मालवेयर डिलीवरी लीगेसी नेटवर्क इंफ्रास्ट्रक्चर के उपयोग पर आधारित है जिसे APT29 द्वारा समझौता किया गया है। छिपे हुए मैलवेयर को होस्ट करने के लिए एक समझौता किए गए वैध सर्वर का उपयोग करने से कंप्यूटर पर सफल स्थापना की संभावना बढ़ जाती है पीड़ित.
यूक्रेन के खिलाफ रूस के युद्ध से संबंधित वर्तमान स्थिति के आधार पर, अमेरिका में पोलिश राजदूत की यात्रा और युद्ध के बारे में उनकी बातचीत, साथ ही यूरोपीय संघ के भीतर दस्तावेज़ों के आदान-प्रदान के लिए उपयोग की जाने वाली ऑनलाइन प्रणाली का दुरुपयोग, ब्लैकबेरी विशेषज्ञ निष्कर्ष निकाला कि नोबेलियम अभियान उन पश्चिमी देशों को लक्षित कर रहा है जो यूक्रेन को सहायता प्रदान करते हैं।
यह भी पढ़ें: