Licenser för flera enheter (volymrabatter)

Ändra region

English Dansk Deutsch Español Français Italiano Nederlands Polski Português Svenska Türkçe Русский हिन्दी 日本語 汉语 漢語
Threat Database Malware EnvyScout skadlig programvara

EnvyScout skadlig programvara

Med Mezo år Malware
Översätt till:
Svenska

EnvyScout är en ny skadlig programvarustam som användes i ett nätfiskeattack som efterliknade United States Agency for International Development (USAID). De hotaktörer som är ansvariga för operationen är från APT29, samma hackerkollektiv som utförde leveranskedjeangreppet mot SolarWinds. APT29 tros ha band till Ryssland. Andra namn som används för att beteckna samma hotaktör är Nobelium, SolarStorm, DarkHalo, NC2452 och StellarPartile.

Hackarna lyckades kompromissa med ett kontaktkonto som tillhörde USAID och skickade sedan över 3000 nätfiske-e-postmeddelanden till mer än 150 olika enheter. Målen inkluderade organisationer och myndigheter som deltar i mänskliga rättigheter och humanitärt arbete samt internationell utveckling. Infosec-forskare upptäckte fyra aldrig tidigare sett skadliga skadestammar som en del av USAID-attacken - en HTML-bilaga som heter 'EnvyScout', en nedladdare som heter ' BoomBox ', en lastare som heter ' NativeZone ' och en skalkod med namnet ' VaporRage '. Det första hotet som släpps ut på komprometterade maskiner är EnvyScout.

EnvyScout Detaljer

Microsoft analyserade skadlig programvara som användes i USAID-attacken och släppte en rapport med sina resultat. EnvyScout är utformat för att släppa nästa stegs nyttolast på det infekterade systemet, samtidigt som det samlar in och exfiltrerar viss data - främst NTLM-referenser för Windows-konton. Hotet är en HTML / JS-filbilaga som distribueras under namnet "NV.html." När den körs försöker NV-filen att ladda en bild från en fil: // URL. Samtidigt kan den loggade användarens Windows NTLM-referenser skickas till en fjärrserver under hackarens kontroll. Cyberbrottslingar kan sedan försöka nå lösenordet för ren text som finns i data genom brute-force-metoder.

EnvyScout kommer att eskalera attacken genom att konvertera en inbäddad textblob till en skadad bildfil med namnet 'NV.img' som kommer att sparas i det lokala systemet. Om bildfilen initieras av användaren kommer den att visa en genväg som heter NV som kör en dold fil med namnet 'BOOM.exe.' Den dolda filen är en del av nästa stegs nyttolast för BoomBox-skadlig programvara.

Det bör noteras att EnvyScout observerades distribueras i en annan nätfiskekampanj. Enligt infosec-forskaren Florian Roth var hotet knutet till phishing-e-postmeddelanden som utgav sig som officiell korrespondens från Belgiens ambassad.

Trendigt

Mest sedda

Läser in...