VaporRage Malware

VaporRage Malware to zagrożenie wdrażane w ramach nowej kampanii phishingowej przypisywanej grupie hakerów APT29, tym samym hakerom, którzy przeprowadzili atak łańcucha dostaw na SolarWinds. APT29 jest również śledzony pod kilkoma innymi oznaczeniami, takimi jak Nobelium, SolarStorm, DarkHalo, NC2452 i inne. Badacze Infosec uważają, że zagrożeni aktorzy są wspierani przez Rosję.

W swoich ostatnich operacjach APT29 zdołał złamać konto Contact Amerykańskiej Agencji Rozwoju Międzynarodowego (USAID). Po wojnie hakerzy wykorzystali legalne konto marketingowe do podszywania się pod USAID i wysyłania ponad 3000 e-maili phishingowych do ponad 150 celów. Wybrane cele obejmowały organizacje i agencje rządowe zaangażowane w rozwój międzynarodowy, działania humanitarne i działania na rzecz praw człowieka.

Szczegóły VaporRage

VaporRage jest jednym z czterech groźnych narzędzi, które APT29 zastosował w ataku phishingowym USAID, a pozostałe 3 to załącznik HTML o nazwie „ EnvyScout ", program do pobierania o nazwie „ BoomBox " i moduł ładujący o nazwie „ NativeZone ". Przed aktywacją VaporRage należy wywołać dwa inne zagrożenia w postaci złośliwego oprogramowania.

Po pierwsze, BoomBox musi dostarczyć ładunek VaporRage pod postacią pliku o nazwie „CertPKIProvider.dll". Następnie złośliwe oprogramowanie NativeZone musi załadować i uruchomić plik. Głównym zadaniem VaporRage jest nawiązanie połączenia z serwerem Command-and-Control operacji, zarejestrowanie się, a następnie regularne docieranie do zdalnej witryny w celu pobrania dostarczonego kodu powłoki. VaporRage może zostać poinstruowany, aby pobrać i uruchomić określone kody powłoki w zależności od intencji hakerów, w tym trojanów i sygnałów nawigacyjnych Cobalt Strike.