Предположительно российская группировка APT29 атаковала системы обмена информации Евросоюза

[Artifact]

Эксперты связывают атаку с последними геополитическими событиями.
Обычно связываемая с Россией хакерская группа APT29 (также известная как SVR, Cozy Bear, Nobelium и The Dukes) недавно была замечена в злоупотреблении законными системами обмена информацией, используемыми европейскими странами.
В начале марта исследователи BlackBerry обнаружили новую кампанию кибершпионажа, нацеленную на страны ЕС. Злоумышленники нацелились на дипломатические учреждения и системы, передающие конфиденциальную информацию о политике региона.
Цепочка атаки начинается с фишингового электронного письма, содержащего документ-приманку, который, в свою очередь, содержит ссылку, ведущую к загрузке вредоносного HTML-файла.
Группа APT29 также использовала в своих целях несколько законных систем, включая LegisWrite и eTrustEx, которые используются странами ЕС для безопасного обмена информацией и данными.

LegisWrite — это программа редактирования, используемая правительственными сотрудниками в Европейском Союзе. Это означает, что киберпреступники использовали её в качестве злонамеренной приманки, чтобы получить доступ к государственным организациям ЕС.
Вредоносный HTML-файл, использованный в атаке, представляет собой вариацию дроппера NOBELIUM, отслеживаемую как ROOTSAW (он же EnvyScout). EnvyScout использует технику контрабанды HTML для доставки зловредных «.img» или «.iso» файлов в систему жертвы.
Для сохранения постоянства вредоноса в системе создаётся новый раздел реестра: «HKEY_CURRENT_USER\Software\Microsoft\Windows\Cur r entVersion\Run\DsDiBacks». Файл BugSplatRc64.dll позволяет кибершпионам собирать и эксфильтровать информацию о зараженной системе. А для скрытной связи с C2-сервером злоумышленники использовали API популярного приложения для создания заметок Notion.
«APT29 сейчас активно собирает разведданные о странах, поддерживающих Украину. Совпадение визита посла Польши в США с распространением приманки, использованной в атаках, свидетельствует о том, что хакеры внимательно следят за геополитическими событиями и используют их для увеличения вероятности успешного заражения», — заключается в отчёте BlackBerrry.