VaporRage Kötü Amaçlı Yazılım

VaporRage Kötü Amaçlı Yazılımı, SolarWinds'e karşı tedarik zinciri saldırısını gerçekleştiren hackerlarla aynı olan APT29 hacker grubuna atfedilen yeni bir phishing kampanyasının bir parçası olarak yerleştirilen bir tehdittir. APT29 ayrıca Nobelium, SolarStorm, DarkHalo, NC2452 ve daha fazlası gibi diğer birçok isim altında izlenir. Infosec araştırmacıları, tehdit aktörlerinin Rusya tarafından desteklendiğine inanıyor.

APT29, son operasyonlarında Amerika Birleşik Devletleri Uluslararası Kalkınma Ajansı'nın (USAID) İletişim hesabını ihlal etmeyi başardı. Savaştan sonra, bilgisayar korsanları USAID kimliğine bürünmek ve 150'den fazla hedefe 3000'den fazla kimlik avı e-postası göndermek için yasal pazarlama hesabını kullandılar. Seçilen hedefler arasında uluslararası kalkınma, insani yardım ve insan hakları çalışmalarında yer alan kuruluşlar ve devlet kurumları vardı.

VaporRage Detayları

VaporRage, APT29'un USAID kimlik avı saldırısında uyguladığı dört tehdit aracından biridir, diğer 3'ü ' EnvyScout ' adlı bir HTML eki, 'BoomBox' adlı bir indirici ve 'NativeZone' adlı bir yükleyici. VaporRage etkinleştirilmeden önce, diğer iki kötü amaçlı yazılım tehdidinin çağrılması gerekir.

İlk olarak, BoomBox, VaporRage yükünü 'CertPKIProvider.dll' adlı bir dosya kılığında teslim etmelidir. Ardından, NativeZone kötü amaçlı yazılımın dosyayı yüklemesi ve çalıştırması gerekir. VaporRage'in ana görevi, işlemin Komut ve Kontrol sunucusuyla bağlantı kurmak, kendisini kaydettirmek ve ardından sağlanan bir kabuk kodunu almak için düzenli olarak uzak siteye ulaşmaktır. VaporRage'a, Truva atları ve Cobalt Strike işaretçileri dahil olmak üzere bilgisayar korsanlarının niyetlerine bağlı olarak belirli kabuk kodlarını indirmesi ve çalıştırması talimatı verilebilir.