توییت
عامل تهدید APT29 (با نام مستعار Cozy Bear) مرتبط با روسیه به یک کمپین جاسوسی سایبری در حال انجام که وزارتخانه های خارجه و نهادهای دیپلماتیک مستقر در کشورهای عضو ناتو، اتحادیه اروپا و آفریقا را هدف قرار می دهد، نسبت داده شده است.
بر اساس گزارش سرویس ضد جاسوسی نظامی لهستان و تیم CERT Polska، فعالیت مشاهده شده دارای همپوشانی تاکتیکی با خوشه ای است که توسط مایکروسافت به عنوان نوبلیوم ردیابی شده است، که به دلیل حمله پرمخاطب خود به SolarWinds در سال 2020 شناخته شده است.
عملیات نوبلیوم به سرویس اطلاعات خارجی روسیه (SVR) نسبت داده شده است، سازمانی که وظیفه حفاظت از "افراد، جامعه و دولت در برابر تهدیدات خارجی" را بر عهده دارد.
با این حال، این کمپین نشاندهنده تکامل تاکتیکهای گروه هکری تحت حمایت کرملین است که نشاندهنده تلاشهای مداوم برای بهبود تسلیحات سایبری آن برای نفوذ به سیستمهای قربانی برای جمعآوری اطلاعات است.
این آژانسها گفتند: «ابزارهای جدید همزمان و مستقل از یکدیگر استفاده میشدند یا جایگزین ابزارهایی میشدند که اثربخشی آنها کاهش یافته بود و به بازیگر اجازه میداد تا یک سرعت عملیاتی مداوم و بالا را حفظ کند».
حملات جاسوسی
این حملات با ایمیلهای فیشینگ نیزهای با جعل هویت سفارتخانههای اروپایی آغاز میشود که هدف آن ترغیب دیپلماتهای هدف به باز کردن فایلهای ضمیمه بدافزار تحت پوشش دعوت یا جلسه است.
در پیوست PDF یک URL به دام افتاده است که منجر به استقرار یک قطره چکان HTML به نام EnvyScout (معروف به ROOTSAW) می شود، که سپس به عنوان مجرای برای ارائه سه سویه قبلی ناشناخته SNOWYAMBER، HALFRIG و QUARTERRIG استفاده می شود.
SNOWYAMBER که توسط Recorded Future به آن GraphicalNeutrino نیز میگویند، از سرویس یادداشتبرداری Notion برای فرمان و کنترل (C2) و دانلود محمولههای اضافی مانند Brute Ratel استفاده میکند.
QUARTERRIG همچنین به عنوان دانلود کننده ای عمل می کند که قادر به بازیابی یک فایل اجرایی از یک سرور کنترل شده توسط بازیگر است. از سوی دیگر، HALFRIG به عنوان یک لودر برای راه اندازی جعبه ابزار پس از بهره برداری Cobalt Strike که در داخل آن قرار دارد عمل می کند.
شایان ذکر است که این افشاگری با یافته های اخیر بلک بری همراه است، که به تفصیل کمپین نوبلیوم را هدف قرار می دهد که کشورهای اتحادیه اروپا را هدف قرار می دهد، با تاکید خاص بر آژانس هایی که به شهروندان اوکراینی در حال فرار از کشور کمک می کنند و به دولت اوکراین کمک می کنند.
بر اساس گزارش سرویس ضد جاسوسی نظامی لهستان و تیم CERT Polska، فعالیت مشاهده شده دارای همپوشانی تاکتیکی با خوشه ای است که توسط مایکروسافت به عنوان نوبلیوم ردیابی شده است، که به دلیل حمله پرمخاطب خود به SolarWinds در سال 2020 شناخته شده است.
عملیات نوبلیوم به سرویس اطلاعات خارجی روسیه (SVR) نسبت داده شده است، سازمانی که وظیفه حفاظت از "افراد، جامعه و دولت در برابر تهدیدات خارجی" را بر عهده دارد.
با این حال، این کمپین نشاندهنده تکامل تاکتیکهای گروه هکری تحت حمایت کرملین است که نشاندهنده تلاشهای مداوم برای بهبود تسلیحات سایبری آن برای نفوذ به سیستمهای قربانی برای جمعآوری اطلاعات است.
این آژانسها گفتند: «ابزارهای جدید همزمان و مستقل از یکدیگر استفاده میشدند یا جایگزین ابزارهایی میشدند که اثربخشی آنها کاهش یافته بود و به بازیگر اجازه میداد تا یک سرعت عملیاتی مداوم و بالا را حفظ کند».
حملات جاسوسی
این حملات با ایمیلهای فیشینگ نیزهای با جعل هویت سفارتخانههای اروپایی آغاز میشود که هدف آن ترغیب دیپلماتهای هدف به باز کردن فایلهای ضمیمه بدافزار تحت پوشش دعوت یا جلسه است.
در پیوست PDF یک URL به دام افتاده است که منجر به استقرار یک قطره چکان HTML به نام EnvyScout (معروف به ROOTSAW) می شود، که سپس به عنوان مجرای برای ارائه سه سویه قبلی ناشناخته SNOWYAMBER، HALFRIG و QUARTERRIG استفاده می شود.
SNOWYAMBER که توسط Recorded Future به آن GraphicalNeutrino نیز میگویند، از سرویس یادداشتبرداری Notion برای فرمان و کنترل (C2) و دانلود محمولههای اضافی مانند Brute Ratel استفاده میکند.
QUARTERRIG همچنین به عنوان دانلود کننده ای عمل می کند که قادر به بازیابی یک فایل اجرایی از یک سرور کنترل شده توسط بازیگر است. از سوی دیگر، HALFRIG به عنوان یک لودر برای راه اندازی جعبه ابزار پس از بهره برداری Cobalt Strike که در داخل آن قرار دارد عمل می کند.
شایان ذکر است که این افشاگری با یافته های اخیر بلک بری همراه است، که به تفصیل کمپین نوبلیوم را هدف قرار می دهد که کشورهای اتحادیه اروپا را هدف قرار می دهد، با تاکید خاص بر آژانس هایی که به شهروندان اوکراینی در حال فرار از کشور کمک می کنند و به دولت اوکراین کمک می کنند.