Вредоносное ПО BoomBox

Вредоносное ПО BoomBox - это угроза загрузчика среднего уровня, используемая в фишинг-атаке от имени Агентства США по международному развитию (USAID). Злоумышленнику удалось завладеть контактным аккаунтом агентства, а затем использовать его для отправки более 3000 фишинговых писем более чем 150 целям. В число целевых организаций входили государственные учреждения и организации, занимающиеся правами человека и гуманитарной деятельностью, а также международным развитием.

Атака приписывается группе APT29 , тем же хакерам, которые провели атаку цепочки поставок на SolarWinds. APT29 также известен под названиями Nobelium, SolarStorm, DarkHalo, NC2452 и другими. Считается, что хакеры связаны с Россией.

BoomBox - один из четырех ранее неизвестных вредоносных инструментов, которые ATP29 использовала в операции USAID. Их другими опасными инструментами являются HTML-вложение EnvyScout , загрузчик NativeZone и шелл-код VaporRage .

Детали BoomBox

BoomBox - одна из промежуточных частей операции. Он доставляется в зараженную систему в виде скрытого файла BOOM.exe внутри ISO-образа, сброшенного вредоносной программой EnvyScout. Основная функция BoomBox - загрузить два зашифрованных файла вредоносного ПО на взломанный компьютер из DropBox. Затем угроза расшифрует и сохранит два файла в локальной системе как «% AppData% MicrosoftNativeCacheNativeCacheSvc.dll» и «% AppData% SystemCertificatesCertPKIProvider.dll». Следующим шагом для BoomBox является запуск файлов через rundll32.exe. Доставленные файлы содержат полезную нагрузку для угроз NativeZone и VaporRage.

В качестве своего последнего действия BoomBox выполнит запрос LDAP, пытаясь собрать такие данные, как имя учетной записи SAM, адрес электронной почты, отличительное имя и отображаемое имя всех пользователей домена. Собранные данные будут зашифрованы и загружены на удаленный сервер.