謎團竊取者

俄羅斯威脅行為者設計了一項針對在加密貨幣行業工作的東歐人的運動。通過使用虛假的工作機會，他們的目標是用一種以前未知的惡意軟件感染他們的受害者，這些惡意軟件被追踪為 Enigma Stealer。威脅操作依賴於一組複雜的高度混淆的加載程序，這些加載程序利用了舊英特爾驅動程序中的漏洞。此技術用於降低 Microsoft Defender 的令牌完整性，從而繞過其安全措施。

所有這些策略都用於獲取對機密數據的訪問權限並破壞受害者的機器。安全研究人員在一份報告中披露了有關 Enigma Stealer 和攻擊活動基礎設施的詳細信息。根據他們的發現，Enigma 是開源惡意軟件Stealerium的修改版本。

Enigma Stealer 複雜的感染鏈

Enigma Stealer 背後的威脅行為者正在使用惡意電子郵件攻擊他們的受害者。這些假裝提供工作機會的電子郵件包括一個附加的 RAR 存檔，其中包含一個 .TXT 文件，其中包含用西里爾文編寫的面試問題，以及一個名為“interview conditions.word.exe”的可執行文件。如果誘使受害者啟動可執行文件，則會執行多階段有效負載鏈，最終從 Telegram 下載 Enigma 信息收集惡意軟件。

第一階段的有效載荷是一個 C++ 下載程序，它在下載和啟動第二階段的有效載荷“UpdateTask.dll”時使用各種技術來逃避檢測。第二階段利用“自帶漏洞驅動程序”(BYOVD) 技術來利用 CVE-2015-2291 Intel 漏洞，該漏洞允許以內核權限執行命令。然後，威脅參與者使用它在惡意軟件下載第三個有效負載之前禁用 Microsoft Defender。

Enigma Stealer 的威脅能力

威脅行為者部署的第三個有效載荷是 Enigma Stealer。它旨在針對存儲在 Web 瀏覽器（例如 Google Chrome、Microsoft Edge、Opera 等）中的系統信息、令牌和密碼。此外，它還可以從受感染的系統中截取屏幕截圖、提取剪貼板內容和 VPN 配置。

Enigma Stealer 還能夠鎖定存儲在 Microsoft Outlook、Telegram、Signal、OpenVPN 和其他應用程序中的數據。所有收集到的信息都被壓縮成一個 ZIP 存檔（“Data.zip”），然後通過 Telegram 發送回威脅參與者。為了進一步隱藏自己的數據並防止未經授權的訪問或篡改，Enigma 的某些字符串（例如 Web 瀏覽器路徑和地理定位 API 服務 URL）使用高級加密標準 (AES) 算法在密碼塊鏈接 (CBC) 模式下進行了加密。