谜团窃取者

俄罗斯威胁行为者设计了一项针对在加密货币行业工作的东欧人的活动。通过使用虚假的工作机会，他们的目标是用一种以前未知的恶意软件感染他们的受害者，这些恶意软件被追踪为 Enigma Stealer。威胁操作依赖于一组复杂的高度混淆的加载程序，这些加载程序利用了旧英特尔驱动程序中的漏洞。此技术用于降低 Microsoft Defender 的令牌完整性，从而绕过其安全措施。

所有这些策略都用于获取对机密数据的访问权限并破坏受害者的机器。安全研究人员在一份报告中披露了有关 Enigma Stealer 和攻击活动基础设施的详细信息。根据他们的发现，Enigma 是开源恶意软件Stealerium的修改版本。

Enigma Stealer 复杂的感染链

Enigma Stealer 背后的威胁行为者正在使用恶意电子邮件攻击他们的受害者。这些假装提供工作机会的电子邮件包括一个附加的 RAR 存档，其中包含一个 .TXT 文件，其中包含用西里尔文编写的面试问题，以及一个名为“interview conditions.word.exe”的可执行文件。如果诱使受害者启动可执行文件，则会执行多阶段有效负载链，最终从 Telegram 下载 Enigma 信息收集恶意软件。

第一阶段的有效载荷是一个 C++ 下载程序，它在下载和启动第二阶段的有效载荷“UpdateTask.dll”时使用各种技术来逃避检测。第二阶段利用“自带漏洞驱动程序”(BYOVD) 技术来利用 CVE-2015-2291 Intel 漏洞，该漏洞允许以内核权限执行命令。然后，威胁参与者使用它在恶意软件下载第三个有效负载之前禁用 Microsoft Defender。

Enigma Stealer 的威胁能力

威胁行为者部署的第三个有效载荷是 Enigma Stealer。它旨在针对存储在 Web 浏览器（例如 Google Chrome、Microsoft Edge、Opera 等）中的系统信息、令牌和密码。此外，它还可以从受感染的系统中截取屏幕截图、提取剪贴板内容和 VPN 配置。

Enigma Stealer 还能够锁定存储在 Microsoft Outlook、Telegram、Signal、OpenVPN 和其他应用程序中的数据。所有收集到的信息都被压缩成一个 ZIP 存档（“Data.zip”），然后通过 Telegram 发送回威胁参与者。为了进一步隐藏自己的数据并防止未经授权的访问或篡改，Enigma 的某些字符串（例如 Web 浏览器路径和地理定位 API 服务 URL）使用高级加密标准 (AES) 算法在密码块链接 (CBC) 模式下进行了加密。