EnvyScout Malware

EnvyScout is een nieuwe malware-soort die werd gebruikt bij een phishing-aanval die zich voordeed als de United States Agency for International Development (USAID). De bedreigingsactoren die verantwoordelijk zijn voor de operatie zijn afkomstig van APT29, hetzelfde hackercollectief dat de supply chain-aanval tegen SolarWinds uitvoerde. APT29 zou banden hebben met Rusland. Andere namen die worden gebruikt om dezelfde dreigingsacteur aan te duiden, zijn Nobelium, SolarStorm, DarkHalo, NC2452 en StellarPartile.

De hackers slaagden erin een Contact-account van USAID te compromitteren en gingen vervolgens door met het verzenden van meer dan 3000 phishing-e-mails naar meer dan 150 verschillende entiteiten. De doelen waren onder meer organisaties en overheidsinstanties die zich bezighouden met mensenrechten en humanitair werk, evenals met internationale ontwikkeling. Infosec-onderzoekers ontdekten vier nooit eerder vertoonde malwarestammen als onderdeel van de USAID-aanval: een HTML-bijlage met de naam 'EnvyScout', een downloader met de naam ' BoomBox ', een loader met de naam ' NativeZone ' en een shellcode met de naam ' VaporRage '. De eerste bedreiging die op gecompromitteerde machines terechtkomt, is EnvyScout.

EnvyScout-details

Microsoft analyseerde de malware die werd gebruikt bij de USAID-aanval en bracht een rapport uit met hun bevindingen. EnvyScout is ontworpen om de payload van de volgende fase op het geïnfecteerde systeem te plaatsen, terwijl het ook bepaalde gegevens vastlegt en exfiltreert - voornamelijk NTLM-inloggegevens van Windows-accounts. De dreiging is een HTML / JS-bestandsbijlage die wordt verspreid onder de naam 'NV.html'. Wanneer het wordt uitgevoerd, zal het NV-bestand proberen een afbeelding te laden vanuit een bestand: // URL. Tegelijkertijd kunnen de Windows NTLM-inloggegevens van de aangemelde gebruiker worden verzonden naar een externe server onder controle van de hackers. De cybercriminelen kunnen vervolgens proberen het wachtwoord in platte tekst in de gegevens te achterhalen door middel van brute-force-methoden.

EnvyScout escaleert de aanval door een ingesloten tekstblob om te zetten in een beschadigd afbeeldingsbestand met de naam 'NV.img' dat op het lokale systeem wordt opgeslagen. Als het afbeeldingsbestand wordt gestart door de gebruiker, wordt een snelkoppeling weergegeven met de naam NV die een verborgen bestand met de naam 'BOOM.exe' zal uitvoeren. Het verborgen bestand maakt deel uit van de payload van de volgende fase voor de BoomBox-malware.

Opgemerkt moet worden dat EnvyScout werd ingezet in een andere phishing-campagne. Volgens de infosec-onderzoeker Florian Roth was de dreiging gehecht aan phishing-e-mails die zich voordeden als officiële correspondentie afkomstig van de Ambassade van België.