NOBELIUM, znane również jako APT29, to wyrafinowane, sponsorowane przez rosyjskie państwo ugrupowanie cyberprzestępcze, którego celem są kraje zachodnie.
Nowa kampania hakerska NOBELIUM
Na początku marca analitycy BlackBerry zaobserwowali nową kampanię skierowaną w kraje Unii Europejskiej, w szczególności jej jednostki i systemy dyplomatyczne przekazujące poufne informacje o polityce w regionie, pomagające obywatelom Ukrainy w ucieczce z kraju oraz udzielające pomocy ukraińskiemu rządowi.
Informacja o MITRE ATT&CK
Taktyka | Technika |
Rozwój zasobów | T1584.006 (oszukiwanie legalnych serwerów internetowych w celu rozpowszechniania programów do pobierania) |
Początkowy dostęp | T1566.002 (wiadomość typu spear phishing zawierająca odesłanie do złośliwej witryny) |
Wykonanie | T1204.002 (złośliwe pliki .lnk wewnątrz uzbrojonych obrazów ISO) |
Skuteczność | T1547.001 (wykonanie przez Autorun) |
Unikanie obrony | T1027.006 (złośliwe zaciemnianie kodu HTML) |
Dowództwo i kontrola | T1102.002 (komunikacja przez Notion API) |
Uzbrojenie i przegląd techniczny
Broń | Zaciemnione pliki html, pliki iso, pliki .lnk, 64-bitowe biblioteki DLL |
Wektor ataku | Wyłudzanie informacji |
Infrastruktura sieci | Naruszone legalne strony internetowe. |
Cele | Podmioty dyplomatyczne |
Analiza techniczna ataków NOBELIUM
NOBELIUM to zaawansowana grupa uporczywego zagrożenia, znana również jako APT29.
Jest publicznie przypisywana rosyjskiemu rządowi, a konkretnie Służbie Wywiadu Zagranicznego Federacji Rosyjskiej (SVR), czyli organizacji odpowiedzialnej za gromadzenie danych wywiadowczych poza Rosją, w tym inwigilację elektroniczną.
Chociaż kampanie phishingowe nie są zbyt wyrafinowane, APT29 jest znany ze swojej zwinności, gdy znajdzie się w sieci celu. Jej operatorzy są znani ze skradania się. Są niezwykle cierpliwi i wykwalifikowani w wykorzystywaniu innowacyjnych technik włamań, które wykorzystują technologie i usługi Microsoftu.
Grupa cyberprzestępców trafiła na pierwsze strony gazet na całym świecie w grudniu 2020 r., kiedy atak wysokiego szczebla na łańcuch dostaw spowodował trojanowanie aktualizacji oprogramowania SolarWinds Orien. Atak dotknął tysiące użytkowników, rozpowszechniając backdoora nazwanego SunBurst.
Analiza techniczna nowej kampanii NOBELIUM obserwowana przez BlackBerry wykazała, że grupa tworzy przynęty skierowane do osób zainteresowanych niedawną wizytą polskiego MSZ w USA i nadużywa legalnego elektronicznego systemu wymiany oficjalnych dokumentów w UE o nazwie LegisWrite. Częściowo pokrywa się z poprzednią kampanią odkrytą przez naukowców w październiku 2022 r.
NOBELIUM jest również znany jako Cosy Bear i The Dukes, a raporty branżowe wcześniej odnosiły się do grupy zagrożeń jako StellarParticle, UNC2452 i Dark Halo.
NOBELIUM historycznie atakowało organizacje rządowe, organizacje pozarządowe, wojsko, dostawców usług IT, technologii i badań medycznych oraz dostawców usług telekomunikacyjnych.
Wektor ataku grupy NOBELIUM
Wektorem infekcji dla tej konkretnej kampanii grupy NOBELIUM jest ukierunkowana wiadomość phishingowa zawierająca zainfekowany dokument. Złośliwy dokument zawiera odsyłacz prowadzący do pobrania pliku HTML:
- hxxps[:]//literaturaelsalvador[.]com/Instructions[.]html
- hxxps[:]//literaturaelsalvador[.]com/Schedule[.]html
Uzbrojone adresy URL, pokazane powyżej są hostowane na legalnej witrynie internetowej biblioteki z siedzibą w Salwadorze w Ameryce Środkowej. Badacze BlackBerry uwzględniają, że cyberprzestępcy włamywali się na tę witrynę między końcem stycznia 2023 r. a początkiem lutego 2023 r.
Jedna z przynęt przemawia do tych, którzy chcą poznać harmonogram Ambasady RP na rok 2023. Pokrywa się ona z niedawną wizytą Ambasadora Marka Magierowskiego w Stanach Zjednoczonych. Jego przemówienie z 2 lutego, w którym omawiał wojnę na Ukrainie w Columbus School of Law na Katolickim Uniwersytecie Ameryki, z siedzibą w Waszyngtonie mogło zwrócić uwagę hakerów.

Kolejną zainfekowaną treść, którą znaleźli przedstawiciele BlackBerry, wykorzystuje wiele legalnych systemów, w tym LegisWrite i eTrustEx, których kraje UE używają do wymiany informacji i bezpiecznego przesyłania danych.

LegisWrite to program do edycji, który umożliwia bezpieczne tworzenie, weryfikację i wymianę dokumentów między rządami w Unii Europejskiej. Fakt, że LegisWrite jest używany jako złośliwa przynęta, wskazuje, że ugrupowanie cyberprzestępcze stojące za nią bierze na cel organizacje państwowe w Unii Europejskiej.
TECHNICZNE
Dalsza analiza złośliwego pliku HTML ujawnia, że jest to wersja złośliwego droppera NOBELIUM śledzona jako ROOTSAW, znana również jako EnvyScout. EnvyScout wykorzystuje technikę znaną jako przemyt HTML w celu dostarczenia pliku IMG lub ISO do systemu ofiary.
Plik HTML dostarczony w tej kampanii zawiera blok danych, który można zdekodować, odejmując 4. Po zdekodowaniu tych danych okazuje się, że zawiera on plik „.ISO”.

Link „hxxps[:]//literaturaelsalvador[.]com/Instructions[.]html” usuwa „Instruction.iso”, a link „hxxps[:]//literaturaelsalvador[.]com/Schedule[.]html” upuszcza „Schedule.iso”. Każdy z tych plików „.iso” zawiera dwa pliki z tym samym skrótem dla obu:
BugSplatRc64.dll
<Instrukcja||Harmonogram>.lnk
SHA256 MD5 | dffaefabbcf6da029f927e67e38c0d1e6271bf998040cfd6d8c50a4eff639df 38b05aa4b5ba651ba95f7173c5145270 |
Nazwa pliku ITW | Schedule.lnk, Instructions.lnk |
Pieczęć kompilacji | 2023-02-08T17:40:55.2737760+00:00 |
Typ pliku/Podpis | Skrót Windowsa |
Rozmiar pliku | 1488 bajtów |
Argument wiersza poleceń | BugSplatRc64.dll,InitiateDs |
Celem pliku „.lnk” jest uruchomienie określonego argumentu wiersza poleceń:
C:\Windows\system32\rundll32.exe BugSplatRc64.dll,InitiateDs
SHA256 MD5 | e957326b2167fa7ccd508cbf531779a28bfce75eb2635ab81826a522979aeb98 cf36bf564fbb7d5ec4cec9b0f185f6c9 |
Nazwa pliku ITW | BugSplatRc64.dll |
Pieczęć kompilacji | 2023-02-07 13:02:42 UTC |
Typ pliku/Podpis | x64 PEDLL |
Rozmiar pliku | 271360 bajtów |
Plik BugSplatRc64.dll zawiera wiele zaszyfrowanych ciągów, które są odszyfrowywane w czasie wykonywania. Niektóre z tych odszyfrowanych ciągów są następujące:
- BugSplatRc64.dll,InitiateDs” C:\Windows\System32\rundll32.exe”
- Software\Microsoft\Windows\CurrentVersion\Run
- authorization: Bearer secret_X92 sXCVWoTk63aPgGKlPBBmHVmuKXJ2geugKa7Ogj7s
- notion-version:
- 2022-06-28 accept: applicat ion/json.
Kontynuując jego wykonywanie, tworzony jest nowy katalog w „C:\Users\<username>\AppData”, do którego kopiowany jest plik BugSplatRc64.dll.
- C:\Users\<username>\AppData\ DsDiBacks\BugSplatRc64.dll
Aby trwale pozostać w zainfekowanym systemie, tworzony jest nowy klucz rejestru pod: „HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\DsDiBacks” z wartością „C:\Windows\System32\rundll32.exe „C: \Users\<username>\AppData\Local\DsDiBacks\BugSplatRc64.dll,InitiateDs”.
Plik BugSplatRc64.dll ma na celu zbieranie i eksfiltrację informacji o zainfekowanym systemie. Obejmuje to podstawowe dane, takie jak nazwa użytkownika i adres IP właściciela. Informacje te są następnie wykorzystywane do tworzenia unikalnego identyfikatora ofiary, który jest następnie wysyłany do serwera dowodzenia i kontroli (C2) – Notion.
Co minutę (62000 ms) BugSplatRc64.dll łączy się z serwerem Notion, czekając na następny ładunek. Jeśli się powiedzie, ładunek jest wykonywany jako kod powłoki w pamięci swojego procesu.
Infrastruktura sieci
Dostarczanie złośliwego oprogramowania w ramach kampanii grupy NOBELIUM opiera się na wykorzystaniu starszej infrastruktury sieciowej, która została naruszona przez cyberprzestępców. Wykorzystanie zainfekowanego legalnego serwera do hostowania spakowanego złośliwego oprogramowania zwiększa szanse na udaną instalację na urządzeniach ofiar.
Spakowane złośliwe oprogramowanie wykorzystuje „api.notion.com” do komunikacji C2. „Notion” to powszechnie używana aplikacja do robienia notatek. Używając interfejsu programowania aplikacji (API) Notion dla C2, grupa cyberprzestępców nadaje swojemu ruchowi pozory łagodnej postaci.
NOBELIUM od dawna wykorzystuje zainfekowane serwery C2, takie jak te hostowane w infrastrukturze chmurowej Microsoft Azure, aby ich złośliwe C2 wyglądały na legalne.
Ta wersja Notion jest określona w nagłówkach jako „2022-06-28” i jest najnowszą wersją API. W kampanii przeprowadzonej w styczniu 2022 r. NOBELIUM nadal korzystało z Trello API do komunikacji C2. Wykorzystanie API Notion rozpoczęło się dopiero pod koniec 2022 r., pozostawiając połowę 2022 r. na wdrożenie tej nowej funkcji C2.

Cele ataków hakerskich
Opierając się na obecnej sytuacji geopolitycznej związanej z inwazją Rosji na Ukrainę, wizytą Ambasadora RP w Stanach Zjednoczonych i jego wypowiedzi na temat wojny oraz nadużyć systemu internetowego służącego do wymiany dokumentów wewnątrz Unii Europejskiej, zespół BlackBerry uważa, że celem kampanii NOBELIUM są kraje zachodnie, zwłaszcza w Europie Zachodniej, które udzielają pomocy Ukrainie.
Podsumowanie działań grupy NOBELIUM
NOBELIUM aktywnie gromadzi informacje wywiadowcze o krajach wspierających Ukrainę w wojnie rosyjsko-ukraińskiej. Nakładanie się wizyty ambasadora RP w Stanach Zjednoczonych na tworzenie przynęt wykorzystaną w atakach hakerskich świadczy o tym, że cyberprzestępcy uważnie śledzą wydarzenia geopolityczne i wykorzystują je do zwiększania prawdopodobieństwa skutecznej infekcji.
Wstępna analiza uzbrojonych plików LNK pokazuje, że ugrupowanie cyberprzestępcze stojące za tą kampanią wykorzystało techniki antykryminalistyczne do usunięcia metadanych osobowych w celu usunięcia informacji związanych z jego systemami operacyjnymi.
Korzystanie z legalnej infrastruktury sieciowej i legalnego serwera WWW zwiększa możliwości techniczne NOBELIUM w zakresie ominięcia podstawowych mechanizmów bezpieczeństwa sieci. Jednak praktyczny model analizy zagrożeń z regułami przeciwdziałania, pomoże wykryć złośliwy ruch z sieci wewnętrznej do infrastruktury sieciowej ugrupowania cyberprzestępczego.
Dostęp do eksperskiej wiedzy!
Zastanawiasz się nad odpowiedzialnością dopuszczenia do ataku hakerskiego w Twojej organizacji? Weź udział w Webinarze CyberWtorki LIVE Czego uczy atak hakerski?
Spotkanie poprowadzi Konrad Glejt. Na pytanie odpowiedzą specjaliści — adwokat Jarosław Hein z kancelarii Rödl & Partner w Polsce i inżynier IT Daniel Winiarski.
Zadbaj o cyberbezpieczeństwo w Twojej organizacji