VaporRage Malware

De VaporRage Malware is een bedreiging die wordt ingezet als onderdeel van een nieuwe phishing-campagne die wordt toegeschreven aan de APT29-hackergroep, dezelfde hackers die de supply chain-aanval tegen SolarWinds hebben uitgevoerd. APT29 wordt ook gevolgd onder verschillende andere benamingen, zoals Nobelium, SolarStorm, DarkHalo, NC2452 en meer. Infosec-onderzoekers zijn van mening dat de dreigingsactoren worden gesteund door Rusland.

Bij hun laatste operaties slaagde APT29 erin om het Contact-account van de United States Agency for International Development (USAID) te doorbreken. Na de oorlog gebruikten de hackers het legitieme marketingaccount om zich voor te doen als USAID en stuurden ze meer dan 3000 phishing-e-mails naar meer dan 150 doelen. De geselecteerde doelen waren onder meer organisaties en overheidsinstanties die betrokken zijn bij internationale ontwikkeling, humanitaire hulp en mensenrechten.

VaporRage Details

VaporRage is een van de vier bedreigende tools die APT29 heeft ingezet bij de USAID phishing-aanval, terwijl de andere drie een HTML-bijlage zijn met de naam ' EnvyScout ', een downloader met de naam ' BoomBox ' en een loader met de naam ' NativeZone '. Voordat VaporRage wordt geactiveerd, moeten twee andere malwarebedreigingen worden aangeroepen.

Ten eerste moet BoomBox de VaporRage-payload leveren in de gedaante van een bestand met de naam 'CertPKIProvider.dll'. Vervolgens moet de NativeZone-malware het bestand laden en uitvoeren. De belangrijkste taak van VaporRage is om een verbinding tot stand te brengen met de Command-and-Control-server van de operatie, zichzelf te registreren en vervolgens regelmatig contact op te nemen met de externe site om een verstrekte shellcode op te halen. VaporRage kan worden geïnstrueerd om specifieke shellcodes te downloaden en uit te voeren, afhankelijk van de bedoelingen van de hackers, waaronder Trojaanse paarden en Cobalt Strike-bakens.