BoomBox malware

BoomBox Malware er en trussel om download i mellemfasen, der bruges i et phishing-angreb, der efterligner USA's Agentur for International Udvikling (USAID). Trusselsaktøren formåede at overtage agenturets kontaktkonto og brugte den derefter til at sende over 3000 phishing-e-mails til mere end 150 mål. De målrettede organisationer omfattede offentlige agenturer og enheder, der var involveret i menneskerettigheder og humanitært arbejde samt international udvikling.

Angrebet tilskrives APT29- gruppen, de samme hackere, der udførte forsyningskædeangrebet mod SolarWinds. APT29 er også kendt under navnene Nobelium, SolarStorm, DarkHalo, NC2452 og mere. Hackerne menes at have forbindelse til Rusland.

BoomBox er et af de fire aldrig før set malware-værktøjer, som ATP29 brugte i USAID-operationen. Deres andre truende værktøjer er HTML-vedhæftede filer EnvyScout, NativeZone loader og VaporRage shellcode.

Oplysninger om BoomBox

BoomBox er en af de midterste nyttelast i operationen. Det leveres til det inficerede system som en skjult BOOM.exe-fil inde i et ISO-billede, der er droppet af EnvyScout-malware. Den primære funktionalitet i BoomBox er at hente to krypterede malware-filer til den kompromitterede maskine fra DropBox. Truslen dekrypteres derefter og gemmer de to filer på det lokale system som '% AppData% MicrosoftNativeCacheNativeCacheSvc.dll' og '% AppData% SystemCertificatesCertPKIProvider.dll.' Det næste trin for BoomBox er at udføre filerne via rundll32.exe. De leverede filer bærer nyttelastene for NativeZone- og VaporRage-trusler.

Som sin sidste aktivitet udfører BoomBox en LDAP-forespørgsel i et forsøg på at indsamle detaljer såsom SAM-kontonavn, e-mail, særnavn og visningsnavn på alle domænebrugerne. De høstede data krypteres og uploades til en ekstern server.