يُنسب التهديد APT29 المرتبط بروسيا (المعروف أيضًا باسم Cozy Bear) إلى حملة التجسس الإلكتروني المستمرة التي تستهدف وزارات الخارجية والكيانات الدبلوماسية الموجودة في الدول الأعضاء في الناتو والاتحاد الأوروبي وأفريقيا.
وفقًا لخدمة مكافحة التجسس العسكرية البولندية وفريق CERT Polska ، فإن النشاط المرصود يشترك في التداخلات التكتيكية مع مجموعة تتبعها Microsoft باسم Nobelium ، والتي تشتهر بهجومها البارز على SolarWinds في عام 2020.
نُسبت عمليات نوبليوم إلى جهاز الاستخبارات الخارجية الروسي ( SVR ) ، وهي منظمة مكلفة بحماية "الأفراد والمجتمع والدولة من التهديدات الخارجية".
ومع ذلك ، تمثل الحملة تطورًا في تكتيكات مجموعة القرصنة المدعومة من الكرملين ، مما يشير إلى المحاولات المستمرة لتحسين أسلحتها الإلكترونية للتسلل إلى أنظمة الضحايا لجمع المعلومات الاستخبارية.
وقالت الوكالات: "تم استخدام أدوات جديدة في نفس الوقت وبشكل مستقل عن بعضها البعض ، أو لتحل محل تلك التي تراجعت فعاليتها ، مما سمح للممثل بالحفاظ على وتيرة تشغيلية مستمرة وعالية" .
تبدأ الهجمات برسائل التصيد الإلكتروني بالرمح التي تنتحل شخصية السفارات الأوروبية التي تهدف إلى إغراء الدبلوماسيين المستهدفين بفتح مرفقات بها برامج ضارة تحت ستار دعوة أو اجتماع.
مضمن في مرفق PDF هو عنوان URL مفخخ يؤدي إلى نشر قطارة HTML تسمى EnvyScout (تُعرف أيضًا باسم ROOTSAW) ، والتي تُستخدم بعد ذلك كقناة لتقديم ثلاث سلالات غير معروفة سابقًا SNOWYAMBER و HALFRIG و QUARTERRIG.
يستفيد SNOWYAMBER ، الذي يشار إليه أيضًا باسم GraphicalNeutrino بواسطة Recorded Future ، من خدمة تدوين الملاحظات من أجل القيادة والتحكم (C2) وتنزيل حمولات إضافية مثل Brute Ratel .
يعمل QUARTERRIG أيضًا كمنزل قادر على استرداد ملف تنفيذي من خادم يتحكم فيه الممثل. من ناحية أخرى ، تعمل HALFRIG كمحمل لإطلاق مجموعة أدوات ما بعد الاستغلال Cobalt Strike الموجودة بداخلها.
من الجدير بالذكر أن الإفصاح يتوافق مع النتائج الأخيرة التي توصلت إليها شركة BlackBerry ، والتي عرضت بالتفصيل حملة نوبليوم التي تستهدف دول الاتحاد الأوروبي ، مع التركيز بشكل خاص على الوكالات التي "تساعد المواطنين الأوكرانيين الفارين من البلاد ، وتقدم المساعدة لحكومة أوكرانيا".