Threat Database Malware EnvyScout Malware

EnvyScout Malware

EnvyScout to nowy szczep złośliwego oprogramowania, który został wykorzystany w ataku phishingowym podszywającym się pod amerykańską Agencję Rozwoju Międzynarodowego (USAID). Podmioty groźne odpowiedzialne za operację pochodzą z APT29, tego samego kolektywu hakerskiego, który przeprowadził atak łańcucha dostaw na SolarWinds. Uważa się, że APT29 ma powiązania z Rosją. Inne nazwy używane do określenia tego samego aktora zagrażającego to Nobelium, SolarStorm, DarkHalo, NC2452 i StellarPartile.

Hakerom udało się włamać na konto Contact należące do USAID, a następnie wysłali ponad 3000 wiadomości phishingowych do ponad 150 różnych podmiotów. Wśród celów znalazły się organizacje i agencje rządowe zajmujące się prawami człowieka i pracą humanitarną, a także rozwojem międzynarodowym. Badacze Infosec odkryli cztery nigdy wcześniej nie widziane szczepy złośliwego oprogramowania w ramach ataku USAID - załącznik HTML o nazwie „EnvyScout", program do pobierania o nazwie „ BoomBox ", moduł ładujący o nazwie „ NativeZone" oraz kod powłoki o nazwie „ VaporRage ". Pierwszym zagrożeniem, które może zostać zrzucone na zhakowane maszyny, jest EnvyScout.

Szczegóły EnvyScout

Firma Microsoft przeanalizowała złośliwe oprogramowanie użyte w ataku USAID i opublikowała raport z wynikami. EnvyScout ma na celu zrzucenie ładunku następnego etapu do zainfekowanego systemu, a także przechwytywanie i eksfiltrowanie pewnych danych - głównie poświadczeń NTLM kont Windows. Zagrożeniem jest załącznik w postaci pliku HTML / JS rozpowszechniany pod nazwą „NV.html". Po uruchomieniu plik NV spróbuje załadować obraz z pliku: // URL. Jednocześnie poświadczenia zalogowanego użytkownika Windows NTLM mogą zostać przesłane na zdalny serwer pod kontrolą hakerów. Cyberprzestępcy mogą następnie próbować dotrzeć do hasła w postaci zwykłego tekstu zawartego w danych za pomocą metod brutalnej siły.

EnvyScout eskaluje atak, konwertując osadzony tekstowy obiekt blob na uszkodzony plik obrazu o nazwie „NV.img", który zostanie zapisany w systemie lokalnym. Jeśli plik obrazu został zainicjowany przez użytkownika, wyświetli się skrót o nazwie NV, który uruchomi ukryty plik o nazwie „BOOM.exe". Ukryty plik jest częścią następnego etapu ładunku szkodliwego oprogramowania BoomBox.

Należy zauważyć, że zaobserwowano, że EnvyScout został wdrożony w innej kampanii phishingowej. Według badacza infosec Floriana Rotha, zagrożenie było związane z e-mailami phishingowymi podszywającymi się pod oficjalną korespondencję pochodzącą z ambasady Belgii.

Popularne

Najczęściej oglądane

Ładowanie...