BoomBox Kötü Amaçlı Yazılım

BoomBox Kötü Amaçlı Yazılım, Amerika Birleşik Devletleri Uluslararası Kalkınma Ajansı'nı (USAID) taklit eden bir kimlik avı saldırısında kullanılan orta aşamalı bir indirme tehdididir. Tehdit aktörü, ajansın İletişim hesabını devralmayı başardı ve ardından 150'den fazla hedefe 3000'den fazla kimlik avı e-postası göndermek için kullandı. Hedeflenen kuruluşlar arasında insan hakları ve insani yardım çalışmalarının yanı sıra uluslararası kalkınmayla ilgilenen devlet kurumları ve kuruluşları da vardı.

Saldırı, SolarWinds'e karşı tedarik zinciri saldırısını gerçekleştiren korsanların aynısı olan APT29 grubuna atfediliyor. APT29 ayrıca Nobelium, SolarStorm, DarkHalo, NC2452 ve daha fazlası adlarıyla da bilinir. Bilgisayar korsanlarının Rusya ile bağlantıları olduğuna inanılıyor.

BoomBox, ATP29'un USAID işleminde kullandığı daha önce hiç görülmemiş dört kötü amaçlı yazılım aracından biridir. Diğer tehdit edici araçları HTML eki EnvyScout, NativeZone yükleyici ve VaporRage shellcode'dur.

BoomBox Ayrıntıları

BoomBox, operasyondaki orta aşama yüklerden biridir. Virüs bulaşmış sisteme, EnvyScout kötü amaçlı yazılımı tarafından bırakılan bir ISO görüntüsünün içinde gizli bir BOOM.exe dosyası olarak teslim edilir. BoomBox'ın ana işlevi, iki şifrelenmiş kötü amaçlı yazılım dosyasını DropBox'tan tehlikeye atılan makineye getirmektir. Tehdit daha sonra yerel sistemdeki iki dosyanın şifresini çözecek ve "% AppData% MicrosoftNativeCacheNativeCacheSvc.dll" ve "% AppData% SystemCertificatesCertPKIProvider.dll" olarak kaydedecektir. BoomBox için bir sonraki adım, dosyaları rundll32.exe aracılığıyla yürütmektir. Teslim edilen dosyalar, NativeZone ve VaporRage tehditlerinin yüklerini taşır.

BoomBox, son etkinliği olarak, tüm etki alanı kullanıcılarının SAM hesap adı, e-postası, ayırt edici adı ve görünen adı gibi ayrıntıları toplamak için bir LDAP sorgusu yürütecektir. Toplanan veriler şifrelenecek ve uzak bir sunucuya yüklenecektir.