EnvyScout恶意软件

EnvyScout是一种新的恶意软件菌株，用于模拟美国国际开发署（USAID）的网络钓鱼攻击中。负责该行动的威胁因素来自APT29，后者是对SolarWinds进行供应链攻击的黑客团体。据信APT29与俄罗斯有联系。用于指定相同威胁参与者的其他名称是Nobelium，SolarStorm，DarkHalo，NC2452和StellarPartile。

黑客设法入侵了属于USAID的联系帐户，然后继续向150多个不同实体发送了3000多封网络钓鱼电子邮件。目标包括参与人权和人道主义工作以及国际发展的组织和政府机构。 Infosec研究人员发现了四种前所未有的恶意软件毒株，这是USAID攻击的一部分：一个名为" EnvyScout"的HTML附件，一个名为" BoomBox "的下载器，一个名为" NativeZone "的加载器以及一个名为" VaporRage "的shellcode。 EnvyScout是要降到受感染计算机上的第一个威胁。

EnvyScout详细信息

Microsoft分析了USAID攻击中使用的恶意软件，并发布了包含其发现的报告。 EnvyScout旨在将下一阶段的有效负载拖放到受感染的系统上，同时还捕获并泄露某些数据-主要是Windows帐户的NTLM凭据。威胁是以名称" NV.html"分发的HTML / JS文件附件。执行后，NV文件将尝试从file：// URL加载图像。同时，可以在黑客的控制下将登录用户的Windows NTLM凭据发送到远程服务器。然后，网络罪犯可以尝试通过暴力手段获取数据中包含的纯文本密码。

EnvyScout通过将嵌入的文本blob转换为名为" NV.img"的损坏的图像文件来升级攻击，该文件将保存在本地系统上。如果图像文件是由用户启动的，它将显示一个名为NV的快捷方式，该快捷方式将执行名为" BOOM.exe"的隐藏文件。隐藏的文件是BoomBox恶意软件的下一阶段有效负载的一部分。

应当指出，据观察，EnvyScout已部署在其他网络钓鱼活动中。据信息安全研究人员弗洛里安·罗斯（Florian Roth）称，威胁来自来自比利时大使馆的冒充官方电子邮件的网络钓鱼电子邮件。