BoomBox Malware
De BoomBox Malware is een downloader-bedreiging in de middenfase die wordt gebruikt in een phishing-aanval die zich voordoet als de United States Agency for International Development (USAID). De bedreigingsacteur slaagde erin het Contact-account van het bureau over te nemen en gebruikte het vervolgens om meer dan 3000 phishing-e-mails naar meer dan 150 doelen te sturen. De beoogde organisaties omvatten overheidsinstanties en entiteiten die zich bezighouden met mensenrechten en humanitair werk, evenals met internationale ontwikkeling.
De aanval wordt toegeschreven aan de APT29- groep, dezelfde hackers die de supply chain-aanval tegen SolarWinds hebben uitgevoerd. APT29 is ook bekend onder de namen Nobelium, SolarStorm, DarkHalo, NC2452 en meer. De hackers zouden connecties hebben met Rusland.
BoomBox is een van de vier nooit eerder vertoonde malwaretools die ATP29 gebruikte bij de USAID-operatie. Hun andere bedreigende tools zijn de HTML-bijlage EnvyScout, de NativeZone- loader en de VaporRage- shellcode.
BoomBox Details
BoomBox is een van de payloads in het midden van de operatie. Het wordt aan het geïnfecteerde systeem afgeleverd als een verborgen BOOM.exe-bestand in een ISO-image die is achtergelaten door de EnvyScout-malware. De belangrijkste functionaliteit van BoomBox is om twee versleutelde malwarebestanden op te halen naar de gecompromitteerde machine vanuit DropBox. De dreiging zal vervolgens de twee bestanden decoderen en opslaan op het lokale systeem als '% AppData% MicrosoftNativeCacheNativeCacheSvc.dll' en '% AppData% SystemCertificatesCertPKIProvider.dll.' De volgende stap voor BoomBox is om de bestanden uit te voeren via rundll32.exe. De geleverde bestanden bevatten de payloads voor de NativeZone- en VaporRage-bedreigingen.
Als laatste activiteit zal BoomBox een LDAP-query uitvoeren in een poging om details te verzamelen zoals SAM-accountnaam, e-mailadres, unieke naam en weergavenaam van alle domeingebruikers. De verzamelde gegevens worden versleuteld en geüpload naar een externe server.
