Ar Krieviju saistītais kiberspiegošanas grupējums APT29 ir novērots, ļaunprātīgi izmantojot divas likumīgas informācijas apmaiņas sistēmas, ko izmanto Eiropas valstis, ziņo BlackBerry.
APT29 ir Krievijas uzlabots pastāvīgo draudu (APT – advanced persistent threat) dalībnieks (actor), kas galvenokārt koncentrējas uz kiberspiegošanu. Tiek uzskatīts, ka šo grupu sponsorē Krievijas ārējās izlūkošanas dienests (SVR), un tā ir izsekojama arī kā Cozy Bear, The Dukes, Nobelium un Yttrium.
Nesen novērotās kampaņas ietvaros, kas bija vērsta pret ES valstu valdībām, tika novērots, ka grupa sūta pikšķerēšanas e-pasta vēstules ar pievienotu ļaunprātīgu dokumentu, kā vilinājumu izmantojot Polijas ārlietu ministra neseno vizīti ASV.
Cita viltība, kā norāda BlackBerry, ļaunprātīgi izmanto vairākas likumīgas sistēmas, tostarp LegisWrite un eTrustEx – divus oficiālus pakalpojumus, ko Eiropas valstu valdības izmanto informācijas un datu apmaiņai.
“LegisWrite ir rediģēšanas programma, kas ļauj droši veidot, pārskatīt un apmainīties ar dokumentiem starp valdībām Eiropas Savienībā. Fakts, ka LegisWrite ir izmantota ļaunprātīgajā vilinājumā, norāda, ka draudu dalībnieks (Threat actor), kas slēpjas aiz šī vilinājuma, mērķtiecīgi mērķē uz valsts organizācijām Eiropas Savienībā,” norāda BlackBerry.
Ļaunprātīgajā dokumentā ir iekļauta saite, kas ved uz HTML failu, kurš izvietots apdraudētā tiešsaistes bibliotēkas tīmekļa vietnē Salvadorā. Šis fails ir APT29 ļaunprātīgais pilinātājs (malicious dropper) ar nosaukumu RootSaw un EnvyScout, kas balstās uz HTML kontrabandu, lai upura sistēmā izvietotu IMG vai ISO failu.
Šajā kampaņā no inficētā domēna tika izmests ISO fails. Attēlā ir divi faili – saites (.lnk) fails, lai palaistu norādītos komandrindas argumentus, un DLL bibliotēka.
Pēc palaišanas DLL nodrošina noturību, izmantojot jaunizveidotu reģistra atslēgu, un turpina vākt informāciju par mērķsistēmu un sūtīt to savam komandu un kontroles (C&C – command-and-control) serverim.
APT29 ļaunprātīgi izmanto plaši izmantotās piezīmju veidošanas lietojumprogrammas Notion API, lai veiktu C&C, kas ļauj maskēt datplūsmu kā nekaitīgu.
APT29 ļaunprātīgi izmanto API no plaši izmantotās piezīmju rakstīšanas lietojumprogrammas Notion priekš C&C, kas ļauj maskēt datplūsmu kā nekaitīgu. Iepriekšējās kampaņās kiberspiegošanas grupa ļaunprātīgi izmantoja Trello API priekš C&C.
Saskaņā ar BlackBerry sniegto informāciju APT no saites faila izdzēsa visus metadatus, lai izvairītos no jebkādas informācijas noplūdes saistībā ar tās operāciju sistēmām.
“Pamatojoties uz pašreizējo ģeopolitisko situāciju saistībā ar Krievijas iebrukumu Ukrainā, Polijas vēstnieka vizīti Amerikas Savienotajās Valstīs un viņa runām par karu, kā arī ļaunprātīgu tiešsaistes sistēmas izmantošanu dokumentu apmaiņai Eiropas Savienībā, mēs uzskatām, ka Nobelium kampaņas mērķis ir Rietumvalstis, īpaši tās Rietumeiropas valstis, kas sniedz palīdzību Ukrainai,” norāda BlackBerry.
