BoomBox惡意軟件

BoomBox惡意軟件是一種中間階段的下載程序威脅，用於模仿美國國際開發署（USAID）的網絡釣魚攻擊。威脅行動者設法接管了該機構的聯繫人帳戶，然後使用該帳戶向3000多個目標發送了3000多封網絡釣魚電子郵件。目標組織包括參與人權和人道主義工作以及國際發展的政府機構和實體。

這次攻擊歸因於APT29小組，這是對SolarWinds進行供應鏈攻擊的黑客。 APT29也以Nobelium，SolarStorm，DarkHalo，NC2452等名稱而聞名。黑客被認為與俄羅斯有聯繫。

BoomBox是ATP29在USAID操作中使用的四種前所未有的惡意軟件工具之一。他們的其他威脅性工具是HTML附件EnvyScout， NativeZone加載程序和VaporRage shellcode。

BoomBox詳細信息

BoomBox是操作中的中間階段負載之一。它作為EnvyScout惡意軟件刪除的ISO映像內的隱藏BOOM.exe文件被傳送到受感染的系統。 BoomBox的主要功能是從DropBox提取兩個加密的惡意軟件文件到受感染的計算機。然後，威脅將解密這兩個文件並將其保存在本地系統上，分別為"％AppData％MicrosoftNativeCacheNativeCacheSvc.dll"和"％AppData％SystemCertificatesCertPKIProvider.dll"。 BoomBox的下一步是通過rundll32.exe執行文件。傳遞的文件帶有NativeZone和VaporRage威脅的有效負載。

作為最後的活動，BoomBox將執行LDAP查詢，以嘗試收集所有域用戶的詳細信息，例如SAM帳戶名，電子郵件，專有名稱和顯示名稱。收集的數據將被加密並上傳到遠程服務器。