BoomBox恶意软件

BoomBox恶意软件是一种中间阶段的下载程序威胁，用于模仿美国国际开发署（USAID）的网络钓鱼攻击。威胁行动者设法接管了该机构的联系人帐户，然后使用该帐户向3000多个目标发送了3000多封网络钓鱼电子邮件。目标组织包括参与人权和人道主义工作以及国际发展的政府机构和实体。

这次攻击归因于APT29小组，这是对SolarWinds进行供应链攻击的黑客。 APT29也以Nobelium，SolarStorm，DarkHalo，NC2452等名称而闻名。黑客被认为与俄罗斯有联系。

BoomBox是ATP29在USAID操作中使用的四种前所未有的恶意软件工具之一。他们的其他威胁性工具是HTML附件EnvyScout， NativeZone加载程序和VaporRage shellcode。

BoomBox详细信息

BoomBox是操作中的中间阶段负载之一。它作为EnvyScout恶意软件删除的ISO映像内的隐藏BOOM.exe文件被传送到受感染的系统。 BoomBox的主要功能是从DropBox提取两个加密的恶意软件文件到受感染的计算机。然后，威胁将解密这两个文件并将其保存在本地系统上，分别为"％AppData％MicrosoftNativeCacheNativeCacheSvc.dll"和"％AppData％SystemCertificatesCertPKIProvider.dll"。 BoomBox的下一步是通过rundll32.exe执行文件。传递的文件带有NativeZone和VaporRage威胁的有效负载。

作为最后的活动，BoomBox将执行LDAP查询，以尝试收集所有域用户的详细信息，例如SAM帐户名，电子邮件，专有名称和显示名称。收集的数据将被加密并上传到远程服务器。