BoomBox Malware
बूमबॉक्स मैलवेयर एक मध्य-चरण डाउनलोडर खतरा है जिसका उपयोग फ़िशिंग हमले में यूनाइटेड स्टेट्स एजेंसी फॉर इंटरनेशनल डेवलपमेंट (USAID) के रूप में किया जाता है। धमकी देने वाला अभिनेता एजेंसी के संपर्क खाते को संभालने में कामयाब रहा और फिर इसका इस्तेमाल 150 से अधिक लक्ष्यों को 3000 से अधिक फ़िशिंग ईमेल भेजने के लिए किया। लक्षित संगठनों में सरकारी एजेंसियां और संस्थाएं शामिल हैं जो मानव अधिकारों और मानवीय कार्यों के साथ-साथ अंतर्राष्ट्रीय विकास में शामिल हैं।
हमले का श्रेय APT29 समूह को दिया जाता है, वही हैकर्स जिन्होंने SolarWinds के खिलाफ आपूर्ति-श्रृंखला पर हमला किया था। APT29 को नोबेलियम, सोलरस्टॉर्म, डार्कहेलो, NC2452 और अन्य नामों से भी जाना जाता है। माना जा रहा है कि हैकर्स के रूस से संबंध हैं।
बूमबॉक्स चार पहले कभी नहीं देखे गए मैलवेयर टूल में से एक है जिसे एटीपी29 ने यूएसएड ऑपरेशन में इस्तेमाल किया था। उनके अन्य खतरनाक उपकरण HTML अटैचमेंट EnvyScout, NativeZone लोडर और VaporRage शेलकोड हैं ।
बूमबॉक्स विवरण
बूमबॉक्स ऑपरेशन में मध्य-चरण पेलोड में से एक है। इसे EnvyScout मालवेयर द्वारा छोड़ी गई ISO छवि के अंदर एक छिपी हुई BOOM.exe फ़ाइल के रूप में संक्रमित सिस्टम तक पहुंचाया जाता है। बूमबॉक्स की मुख्य कार्यक्षमता ड्रॉपबॉक्स से दो एन्क्रिप्टेड मैलवेयर फ़ाइलों को समझौता मशीन पर लाना है। तब खतरा स्थानीय सिस्टम पर दो फाइलों को '%AppData%MicrosoftNativeCacheNativeCacheSvc.dll' और '%AppData%SystemCertificatesCertPKIProvider.dll' के रूप में डिक्रिप्ट और सहेज लेगा। BoomBox के लिए अगला चरण rundll32.exe के माध्यम से फ़ाइलों को निष्पादित करना है। डिलीवर की गई फाइलें नेटिवज़ोन और वाष्पराज खतरों के लिए पेलोड ले जाती हैं।
अपनी अंतिम गतिविधि के रूप में, बूमबॉक्स सभी डोमेन उपयोगकर्ताओं के एसएएम खाते का नाम, ईमेल, विशिष्ट नाम और प्रदर्शन नाम जैसे विवरण एकत्र करने के प्रयास में एक एलडीएपी क्वेरी निष्पादित करेगा। कटा हुआ डेटा एन्क्रिप्ट किया जाएगा और एक दूरस्थ सर्वर पर अपलोड किया जाएगा।
