BoomBox skadlig programvara

BoomBox Malware är ett nedladdningshot i mitten av scenen som används i en phishing-attack som efterliknar United States Agency for International Development (USAID). Hotaktören lyckades ta över byråns kontaktkonto och använde det sedan för att skicka över 3000 nätfiske-e-postmeddelanden till mer än 150 mål. De riktade organisationerna inkluderade myndigheter och enheter som var involverade i mänskliga rättigheter och humanitärt arbete samt internationell utveckling.

Attacken tillskrivs APT29- gruppen, samma hackare som utförde leveranskedjeangreppet mot SolarWinds. APT29 är också känt under namnen Nobelium, SolarStorm, DarkHalo, NC2452 och mer. Hackarna tros ha anslutningar till Ryssland.

BoomBox är ett av de fyra aldrig tidigare sett malwareverktygen som ATP29 använde i USAID-operationen. Deras andra hotande verktyg är HTML-bilagan EnvyScout, NativeZone-laddaren och VaporRage- skalkoden.

BoomBox-detaljer

BoomBox är en av medelstegens nyttolaster i operationen. Den levereras till det infekterade systemet som en dold BOOM.exe-fil inuti en ISO-bild som tappas av EnvyScout-skadlig kod. Huvudfunktionaliteten hos BoomBox är att hämta två krypterade skadliga filer till den komprometterade maskinen från DropBox. Hotet dekrypterar sedan och sparar de två filerna på det lokala systemet som '% AppData% MicrosoftNativeCacheNativeCacheSvc.dll' och '% AppData% SystemCertificatesCertPKIProvider.dll.' Nästa steg för BoomBox är att köra filerna via rundll32.exe. De levererade filerna bär nyttolasten för NativeZone- och VaporRage-hoten.

Som sin sista aktivitet kommer BoomBox att utföra en LDAP-fråga i ett försök att samla in detaljer som SAM-kontonamn, e-post, distinkt namn och visningsnamn för alla domänanvändare. Den skördade informationen krypteras och laddas upp till en fjärrserver.