VaporRage skadlig programvara

VaporRage Malware är ett hot som används som en del av en ny phishing-kampanj som tillskrivs APT29-hackargruppen, samma hackare som utförde leveranskedjeangreppet mot SolarWinds. APT29 spåras också under flera andra beteckningar som Nobelium, SolarStorm, DarkHalo, NC2452 och mer. Infosec-forskare tror att hotaktörerna stöds av Ryssland.

I sin senaste verksamhet lyckades APT29 bryta kontaktkontot för United States Agency for International Development (USAID). Efterkriget använde hackarna det legitima marknadsföringskontot för att utge sig av USAID och skicka över 3000 nätfiske-e-postmeddelanden till mer än 150 mål. De valda målen inkluderade organisationer och myndigheter som deltar i internationell utveckling, humanitärt arbete och mänskliga rättigheter.

VaporRage Detaljer

VaporRage är ett av de fyra hotfulla verktygen som APT29 implementerade i USAID-nätfiskeattack med de andra 3 som en HTML-bilaga som heter ' EnvyScout ', en nedladdare som heter ' BoomBox ' och en lastare som heter ' NativeZone '. Innan VaporRage aktiveras måste två andra hot mot skadlig programvara åberopas.

Först måste BoomBox leverera VaporRage-nyttolasten i form av en fil med namnet 'CertPKIProvider.dll.' Då måste NativeZone-skadlig programvara ladda och köra filen. Huvuduppgiften för VaporRage är att upprätta en anslutning med operationens Command-and-Control-server, registrera sig själv och sedan regelbundet nå ut till fjärrplatsen för att hämta en angiven skalkod. VaporRage kan instrueras att ladda ner och köra specifika skalkoder beroende på hackarnas avsikter, inklusive trojaner och Cobalt Strike-fyrar.