VaporRage Malware

O VaporRage Malware é uma ameaça implantada como parte de uma nova campanha de phishing atribuída ao grupo de hackers APT29, os mesmos hackers que realizaram o ataque à cadeia de suprimentos contra SolarWinds. O APT29 também é rastreado sob várias outras designações, como Nobelium, SolarStorm, DarkHalo, NC2452 e mais. Os pesquisadores da Infosec acreditam que os atores da ameaça são apoiados pela Rússia.

Em suas últimas operações, o APT29 conseguiu violar a conta de contato da Agência dos Estados Unidos para o Desenvolvimento Internacional (USAID). Depois da guerra, os hackers usaram a conta de marketing legítima para se passar por USAID e enviar mais de 3.000 emails de phishing para mais de 150 alvos. Os alvos selecionados incluíram organizações e agências governamentais envolvidas no desenvolvimento internacional, trabalho humanitário e direitos humanos.

Detalhes sobre o VaporRage

O VaporRage é uma das quatro ferramentas ameaçadoras que o APT29 implantou no ataque de phishing da USAID com as outras 3 sendo um anexo HTML chamado 'EnvyScout', um downloader chamado 'BoomBox' e um loader chamado 'NativeZone'. Antes do VaporRage ser ativado, duas outras ameaças de malware devem ser invocadas.

Primeiro, o BoomBox deve entregar a carga útil VaporRage disfarçada de um arquivo denominado 'CertPKIProvider.dll.' Em seguida, o malware NativeZone deve carregar e executar o arquivo. A principal tarefa do VaporRage é estabelecer uma conexão com o servidor de Comando e Controle da operação, registrar-se e, em seguida, acessar regularmente o site remoto para buscar um código de shell fornecido. O VaporRage pode ser instruído a baixar e executar códigos de shell específicos, dependendo das intenções dos hackers, incluindo Trojans e beacons Cobalt Strike.