Threat Database Malware EnvyScout Kötü Amaçlı Yazılım

EnvyScout Kötü Amaçlı Yazılım

EnvyScout, Amerika Birleşik Devletleri Uluslararası Kalkınma Ajansı'nın (USAID) kimliğine bürünen bir kimlik avı saldırısında kullanılan yeni bir kötü amaçlı yazılım türüdür. Operasyondan sorumlu tehdit aktörleri, SolarWinds'e karşı tedarik zinciri saldırısını gerçekleştiren aynı hacker topluluğu olan APT29'dan geliyor. APT29'un Rusya ile bağları olduğuna inanılıyor. Aynı tehdit aktörünü belirlemek için kullanılan diğer isimler Nobelium, SolarStorm, DarkHalo, NC2452 ve StellarPartile'dir.

Bilgisayar korsanları, USAID'ye ait bir Kişi hesabının güvenliğini ihlal etmeyi başardılar ve ardından 150'den fazla farklı varlığa 3000'den fazla kimlik avı e-postası göndermeye devam ettiler. Hedefler arasında insan hakları ve insani yardım çalışmalarının yanı sıra uluslararası kalkınma ile ilgilenen kuruluşlar ve devlet kurumları yer aldı. Infosec araştırmacılar dört USAID saldırının bir parçası olarak kötü amaçlı yazılım suşları daha önce hiç görülmemiş keşfetti - 'EnvyScout' 'adlı bir indirici adında bir HTML eki BoomBox ,' adında bir yükleyici ' NativeZone ', 've adlandırılmış Kabuk kodunun VaporRage .' Güvenliği ihlal edilmiş makinelere atılacak ilk tehdit EnvyScout'tur.

EnvyScout Detayları

Microsoft, USAID saldırısında kullanılan kötü amaçlı yazılımı analiz etti ve bulgularını içeren bir rapor yayınladı. EnvyScout, bir sonraki aşama yükü virüslü sisteme bırakmak ve aynı zamanda belirli verileri (özellikle Windows hesaplarının NTLM kimlik bilgileri) yakalayıp sızdırmak için tasarlanmıştır. Tehdit, 'NV.html' adı altında dağıtılan bir HTML / JS dosyası ekidir. Yürütüldüğünde, NV dosyası bir file: // URL'den bir görüntü yüklemeye çalışacaktır. Aynı zamanda, oturum açmış kullanıcının Windows NTLM kimlik bilgileri, bilgisayar korsanlarının kontrolü altında bir uzak sunucuya gönderilebilir. Siber suçlular daha sonra verilerde bulunan düz metin şifresine kaba kuvvet yöntemleriyle ulaşmaya çalışabilir.

EnvyScout, gömülü bir metin blobunu yerel sisteme kaydedilecek 'NV.img' adlı bozuk bir görüntü dosyasına dönüştürerek saldırıyı hızlandıracaktır. Görüntü dosyası kullanıcı tarafından başlatılırsa, 'BOOM.exe' adlı gizli bir dosyayı yürütecek olan NV adında bir kısayol görüntüler. Gizli dosya, BoomBox kötü amaçlı yazılımının bir sonraki aşama yükünün bir parçasıdır.

EnvyScout'un farklı bir kimlik avı kampanyasında konuşlandırıldığına dikkat edilmelidir. Bilgi güvenliği araştırmacısı Florian Roth'a göre tehdit, Belçika Büyükelçiliği'nden gelen resmi yazışmalar gibi görünen kimlik avı e-postalarına eklenmişti.

trend

En çok görüntülenen

Yükleniyor...