VaporRage Malware

VaporRage Malware er en trussel, der indsættes som en del af en ny phishing-kampagne, der tilskrives APT29-hackergruppen, de samme hackere, der gennemførte forsyningskædeangrebet mod SolarWinds. APT29 spores også under flere andre betegnelser som Nobelium, SolarStorm, DarkHalo, NC2452 og mere. Infosec-forskere mener, at trusselsaktørerne støttes af Rusland.

I deres seneste operationer lykkedes det APT29 at bryde kontaktkontoen fra United States Agency for International Development (USAID). Efter krigen brugte hackerne den legitime marketingkonto til at efterligne USAID og sende over 3000 phishing-e-mails til mere end 150 mål. De valgte mål omfattede organisationer og regeringsorganer, der er involveret i international udvikling, humanitært arbejde og menneskerettighedsarbejde.

VaporRage detaljer

VaporRage er et af de fire truende værktøjer, som APT29 implementerede i USAID-phishing-angreb, hvor de andre 3 var en HTML-vedhæftet fil ved navn ' EnvyScout ', en downloader ved navn ' BoomBox ' og en loader kaldet ' NativeZone '. Inden VaporRage aktiveres, skal to andre malware-trusler påberåbes.

For det første skal BoomBox levere VaporRage-nyttelasten i forklædning af en fil med navnet 'CertPKIProvider.dll.' Derefter skal NativeZone-malware indlæse og udføre filen. VaporRages hovedopgave er at etablere en forbindelse til operationens Command-and-Control-server, registrere sig selv og derefter regelmæssigt nå ud til det eksterne sted for at hente en given shellcode. VaporRage kan instrueres i at downloade og udføre specifikke shellcodes afhængigt af hackernes intentioner, herunder trojanske heste og Cobalt Strike-fyrtårne.