BoomBox Malware

BoomBox Malware jest zagrożeniem typu downloader na średnim poziomie, wykorzystywanym w ataku phishingowym podszywającym się pod Amerykańską Agencję Rozwoju Międzynarodowego (USAID). Aktorowi udało się przejąć konto Contact agencji, a następnie użyć go do wysłania ponad 3000 e-maili phishingowych do ponad 150 celów. Organizacje docelowe obejmowały agencje rządowe i podmioty zajmujące się prawami człowieka i pracą humanitarną, a także rozwojem międzynarodowym.

Atak przypisuje się grupie APT29, tym samym hakerom, którzy przeprowadzili atak łańcucha dostaw na SolarWinds. APT29 jest również znany pod nazwami Nobelium, SolarStorm, DarkHalo, NC2452 i nie tylko. Uważa się, że hakerzy mają powiązania z Rosją.

BoomBox jest jednym z czterech nigdy wcześniej nie widzianych szkodliwych narzędzi, które ATP29 wykorzystywał w operacji USAID. Inne groźne narzędzia to załącznik HTML EnvyScout, moduł ładujący NativeZone i kod powłoki VaporRage.

Szczegóły BoomBox

BoomBox jest jednym z ładunków na średnim etapie operacji. Jest dostarczany do zainfekowanego systemu jako ukryty plik BOOM.exe wewnątrz obrazu ISO upuszczonego przez złośliwe oprogramowanie EnvyScout. Główną funkcjonalnością BoomBox jest pobranie dwóch zaszyfrowanych plików złośliwego oprogramowania na zaatakowaną maszynę z DropBox. Zagrożenie odszyfruje i zapisze dwa pliki w systemie lokalnym jako „% AppData% MicrosoftNativeCacheNativeCacheSvc.dll" i „% AppData% SystemCertificatesCertPKIProvider.dll". Następnym krokiem dla BoomBox jest wykonanie plików za pośrednictwem rundll32.exe. Dostarczone pliki zawierają ładunki dla zagrożeń NativeZone i VaporRage.

Jako ostatnia czynność, BoomBox wykona zapytanie LDAP, próbując zebrać szczegóły, takie jak nazwa konta SAM, adres e-mail, nazwa wyróżniająca i nazwa wyświetlana wszystkich użytkowników domeny. Zebrane dane zostaną zaszyfrowane i przesłane na zdalny serwer.