Вредоносное ПО VaporRage

VaporRage Malware - это угроза, развернутая в рамках новой фишинг-кампании, приписываемой хакерской группе APT29, тем же хакерам, которые осуществили атаку цепочки поставок против SolarWinds. APT29 также отслеживается под несколькими другими обозначениями, такими как Nobelium, SolarStorm, DarkHalo, NC2452 и другими. Исследователи Infosec считают, что субъектов угрозы поддерживает Россия.

В своих последних операциях APT29 удалось взломать контактный аккаунт Агентства США по международному развитию (USAID). После войны хакеры использовали законную маркетинговую учетную запись, чтобы выдать себя за USAID и разослать более 3000 фишинговых писем более чем 150 целям. В число выбранных целей входили организации и государственные учреждения, занимающиеся международным развитием, гуманитарной деятельностью и правозащитной деятельностью.

Детали VaporRage

VaporRage - один из четырех угрожающих инструментов, которые APT29 развернул в ходе фишинг-атаки USAID, а остальные 3 представляют собой вложение HTML с именем EnvyScout , загрузчик с именем BoomBox и загрузчик с именем NativeZone . Перед активацией VaporRage необходимо вызвать две другие вредоносные программы.

Во-первых, BoomBox должен доставить полезную нагрузку VaporRage в виде файла с именем CertPKIProvider.dll. Затем вредоносная программа NativeZone должна загрузить и запустить файл. Основная задача VaporRage - установить соединение с сервером Command-and-Control операции, зарегистрироваться, а затем регулярно обращаться к удаленному сайту для получения предоставленного шелл-кода. VaporRage может быть проинструктирован для загрузки и выполнения определенных шелл-кодов в зависимости от намерений хакеров, включая трояны и маяки Cobalt Strike.