BoomBox Malware

BoomBox Malware è una minaccia di downloader di stadio intermedio utilizzata in un attacco di phishing che impersona l'Agenzia degli Stati Uniti per lo sviluppo internazionale (USAID). L'attore della minaccia è riuscito a rilevare l'account di contatto dell'agenzia e quindi lo ha utilizzato per inviare oltre 3000 e-mail di phishing a più di 150 obiettivi. Le organizzazioni prese di mira includevano agenzie governative ed entità coinvolte nei diritti umani e nel lavoro umanitario, nonché nello sviluppo internazionale.

L'attacco è attribuito al gruppo APT29, gli stessi hacker che hanno effettuato l'attacco alla catena di approvvigionamento contro SolarWinds. APT29 è anche conosciuto con i nomi Nobelium, SolarStorm, DarkHalo, NC2452 e altri. Si ritiene che gli hacker abbiano collegamenti con la Russia.

BoomBox è uno dei quattro strumenti malware mai visti prima che ATP29 ha utilizzato nell'operazione USAID. I loro altri strumenti minacciosi sono l'allegato HTML EnvyScout, il caricatore NativeZone e lo shellcode VaporRage.

Dettagli BoomBox

BoomBox è uno dei carichi utili della fase intermedia dell'operazione. Viene consegnato al sistema infetto come file BOOM.exe nascosto all'interno di un'immagine ISO rilasciata dal malware EnvyScout. La funzionalità principale di BoomBox è recuperare due file malware crittografati sulla macchina compromessa da DropBox. La minaccia decrittograferà e salverà i due file sul sistema locale come "% AppData% MicrosoftNativeCacheNativeCacheSvc.dll" e "% AppData% SystemCertificatesCertPKIProvider.dll". Il passaggio successivo per BoomBox è eseguire i file tramite rundll32.exe. I file consegnati trasportano i payload per le minacce NativeZone e VaporRage.

Come attività finale, BoomBox eseguirà una query LDAP nel tentativo di raccogliere dettagli come il nome dell'account SAM, l'e-mail, il nome distinto e il nome visualizzato di tutti gli utenti del dominio. I dati raccolti verranno crittografati e caricati su un server remoto.