Licenser til flere enheder (volumenrabatter)

Skift region

English Dansk Deutsch Español Français Italiano Nederlands Polski Português Svenska Türkçe Русский हिन्दी 日本語 汉语 漢語
Threat Database Malware EnvyScout Malware

EnvyScout Malware

Med Mezo i Malware
Oversæt til:
Dansk

EnvyScout er en ny malware-stamme, der blev brugt i et phishing-angreb, der efterlignede United States Agency for International Development (USAID). De trusselsaktører, der er ansvarlige for operationen, er fra APT29, det samme hacker-kollektiv, der gennemførte forsyningskædeangrebet mod SolarWinds. APT29 menes at have bånd til Rusland. Andre navne, der blev brugt til at betegne den samme trusselsaktør, er Nobelium, SolarStorm, DarkHalo, NC2452 og StellarPartile.

Hackerne formåede at kompromittere en kontaktkonto, der tilhører USAID, og sendte derefter over 3000 phishing-e-mails til mere end 150 forskellige enheder. Målene omfattede organisationer og regeringsorganer, der var involveret i menneskerettigheder og humanitært arbejde samt international udvikling. Infosec-forskere opdagede fire aldrig tidligere set malware-stammer som en del af USAID-angrebet - en HTML-vedhæftet fil ved navn 'EnvyScout', en downloader ved navn ' BoomBox ', en loader kaldet ' NativeZone ' og en shellcode med navnet ' VaporRage '. Den første trussel, der tabes på kompromitterede maskiner, er EnvyScout.

EnvyScout detaljer

Microsoft analyserede malware anvendt i USAID-angrebet og udgav en rapport med deres fund. EnvyScout er designet til at droppe nyttetrinnet til næste trin på det inficerede system, samtidig med at det indfanger og exfiltrerer bestemte data - hovedsageligt NTLM-legitimationsoplysninger til Windows-konti. Truslen er en vedhæftet fil til HTML / JS-fil distribueret under navnet 'NV.html.' Når den udføres, prøver NV-filen at indlæse et billede fra en fil: // URL. Samtidig kan den loggede brugers Windows NTLM-legitimationsoplysninger sendes til en ekstern server under hackernes kontrol. Cyberkriminelle kan derefter forsøge at nå adgangskoden til almindelig tekst indeholdt i dataene ved hjælp af brute-force-metoder.

EnvyScout eskalerer angrebet ved at konvertere en indlejret tekstblob til en beskadiget billedfil med navnet 'NV.img', der gemmes på det lokale system. Hvis billedfilen er startet af brugeren, viser den en genvej kaldet NV, der udfører en skjult fil ved navn 'BOOM.exe.' Den skjulte fil er en del af næste-trins nyttelast til BoomBox-malware.

Det skal bemærkes, at EnvyScout blev observeret implementeret i en anden phishing-kampagne. Ifølge infosec-forskeren Florian Roth var truslen knyttet til phishing-e-mails, der udgik som officiel korrespondance fra Belgiens ambassade.

Trending

Mest sete

Indlæser...