EnvyScout Вредоносное ПО
EnvyScout - это новый штамм вредоносного ПО, который использовался в фишинг-атаке под видом Агентства США по международному развитию (USAID). Злоумышленники, ответственные за операцию, принадлежат APT29, той же группе хакеров, которая осуществила атаку цепочки поставок на SolarWinds. Считается, что APT29 связан с Россией. Другие имена, используемые для обозначения одного и того же злоумышленника: Nobelium, SolarStorm, DarkHalo, NC2452 и StellarPartile.
Хакерам удалось взломать учетную запись Contact, принадлежащую USAID, а затем они отправили более 3000 фишинговых писем более чем 150 различным организациям. В число мишеней входили организации и правительственные учреждения, занимающиеся правами человека и гуманитарной деятельностью, а также международным развитием. Исследователи Infosec обнаружили четыре ранее неизвестных штамма вредоносного ПО в рамках атаки USAID - HTML-вложение под названием EnvyScout, загрузчик под названием BoomBox , загрузчик под названием NativeZone и шелл-код под названием VaporRage. Первой угрозой, которую бросают на взломанные машины, является EnvyScout.
EnvyScout Подробности
Microsoft проанализировала вредоносное ПО, использованное в атаке USAID, и опубликовала отчет со своими выводами. EnvyScout предназначен для переноса полезной нагрузки следующего этапа в зараженную систему, а также для сбора и удаления определенных данных - в основном учетных данных NTLM учетных записей Windows. Угроза представляет собой вложение файла HTML / JS, распространяемого под названием «NV.html». При запуске файл NV попытается загрузить изображение из URL-адреса file: //. В то же время учетные данные Windows NTLM зарегистрированного пользователя могут быть отправлены на удаленный сервер под контролем хакеров. Затем киберпреступники могут попытаться получить простой текстовый пароль, содержащийся в данных, с помощью методов грубой силы.
EnvyScout усилит атаку, преобразовав встроенный текстовый блок в поврежденный файл изображения с именем «NV.img», который будет сохранен в локальной системе. Если файл изображения инициирован пользователем, он отобразит ярлык с именем NV, который запустит скрытый файл с именем «BOOM.exe». Скрытый файл является частью полезной нагрузки следующего этапа для вредоносного ПО BoomBox.
Следует отметить, что EnvyScout использовался в другой фишинговой кампании. По словам исследователя информационной безопасности Флориана Рота, угроза заключалась в фишинговых письмах, выдаваемых под видом официальной корреспонденции посольства Бельгии.
