VaporRage Malware

Il malware VaporRage è una minaccia implementata come parte di una nuova campagna di phishing attribuita al gruppo di hacker APT29, gli stessi hacker che hanno effettuato l'attacco della catena di approvvigionamento contro SolarWinds. APT29 è anche tracciato con diverse altre designazioni come Nobelium, SolarStorm, DarkHalo, NC2452 e altre. I ricercatori di Infosec ritengono che gli attori della minaccia siano sostenuti dalla Russia.

Nelle loro ultime operazioni, APT29 è riuscito a violare l'account di contatto dell'Agenzia degli Stati Uniti per lo sviluppo internazionale (USAID). Dopo la guerra, gli hacker hanno utilizzato l'account di marketing legittimo per impersonare USAID e inviare oltre 3000 e-mail di phishing a più di 150 obiettivi. Gli obiettivi selezionati includevano organizzazioni e agenzie governative coinvolte nello sviluppo internazionale, nel lavoro umanitario e sui diritti umani.

Dettagli su VaporRage

VaporRage è uno dei quattro strumenti minacciosi che APT29 ha implementato nell'attacco di phishing USAID, mentre gli altri 3 sono un allegato HTML denominato " EnvyScout ", un downloader denominato " BoomBox " e un loader chiamato " NativeZone ". Prima che VaporRage venga attivato, devono essere invocate altre due minacce malware.

Innanzitutto, BoomBox deve fornire il payload VaporRage sotto le spoglie di un file denominato "CertPKIProvider.dll." Quindi, il malware NativeZone deve caricare ed eseguire il file. Il compito principale di VaporRage è stabilire una connessione con il server Command-and-Control dell'operazione, registrarsi e quindi contattare regolarmente il sito remoto per recuperare uno shellcode fornito. VaporRage può essere istruito a scaricare ed eseguire shellcode specifici a seconda delle intenzioni degli hacker, inclusi Trojan e beacon Cobalt Strike.