EnvyScout Malware

EnvyScout è un nuovo ceppo di malware che è stato utilizzato in un attacco di phishing che ha impersonato l'Agenzia degli Stati Uniti per lo sviluppo internazionale (USAID). Gli attori delle minacce responsabili dell'operazione provengono da APT29, lo stesso collettivo di hacker che ha effettuato l'attacco alla catena di approvvigionamento contro SolarWinds. Si ritiene che APT29 abbia legami con la Russia. Altri nomi usati per designare lo stesso attore della minaccia sono Nobelium, SolarStorm, DarkHalo, NC2452 e StellarPartile.

Gli hacker sono riusciti a compromettere un account Contact appartenente a USAID e quindi hanno inviato oltre 3000 e-mail di phishing a più di 150 entità diverse. Gli obiettivi includevano organizzazioni e agenzie governative coinvolte nei diritti umani e nel lavoro umanitario, nonché nello sviluppo internazionale. I ricercatori di Infosec hanno scoperto quattro ceppi di malware mai visti prima come parte dell'attacco USAID: un allegato HTML denominato "EnvyScout", un downloader denominato " BoomBox ", un loader chiamato " NativeZone " e uno shellcode denominato " VaporRage ". La prima minaccia da lanciare su macchine compromesse è EnvyScout.

Dettagli su EnvyScout

Microsoft ha analizzato il malware utilizzato nell'attacco USAID e ha rilasciato un rapporto con i risultati. EnvyScout è progettato per rilasciare il payload della fase successiva sul sistema infetto, acquisendo ed esfiltrando anche determinati dati, principalmente le credenziali NTLM degli account Windows. La minaccia è un file allegato HTML / JS distribuito con il nome "NV.html". Quando viene eseguito, il file NV tenterà di caricare un'immagine da un file: // URL. Allo stesso tempo, le credenziali di Windows NTLM dell'utente connesso possono essere inviate a un server remoto sotto il controllo degli hacker. I criminali informatici possono quindi tentare di raggiungere la password in testo normale contenuta nei dati tramite metodi di forza bruta.

EnvyScout intensificherà l'attacco convertendo un BLOB di testo incorporato in un file immagine danneggiato denominato "NV.img" che verrà salvato sul sistema locale. Se il file immagine viene avviato dall'utente, verrà visualizzato un collegamento denominato NV che eseguirà un file nascosto denominato "BOOM.exe". Il file nascosto fa parte del payload della fase successiva per il malware BoomBox.

Va notato che EnvyScout è stato utilizzato per una diversa campagna di phishing. Secondo il ricercatore di infosec Florian Roth, la minaccia era allegata a e-mail di phishing che si spacciavano per corrispondenza ufficiale proveniente dall'Ambasciata del Belgio.