EnvyScout惡意軟件

EnvyScout是一種新的惡意軟件菌株，曾在網絡釣魚攻擊中使用，該攻擊冒充了美國國際開發署（USAID）。負責該行動的威脅因素來自APT29，後者是對SolarWinds進行供應鏈攻擊的黑客團體。據信APT29與俄羅斯有聯繫。用於指定相同威脅參與者的其他名稱是Nobelium，SolarStorm，DarkHalo，NC2452和StellarPartile。

黑客設法入侵了屬於USAID的聯繫帳戶，然後繼續向150多個不同實體發送了3000多封網絡釣魚電子郵件。目標包括參與人權和人道主義工作以及國際發展的組織和政府機構。 Infosec研究人員發現了四種前所未有的惡意軟件毒株，這是USAID攻擊的一部分：一個名為" EnvyScout"的HTML附件，一個名為" BoomBox "的下載器，一個名為" NativeZone "的加載器以及一個名為" VaporRage "的shellcode。 EnvyScout是要降到受感染計算機上的第一個威脅。

EnvyScout詳細信息

Microsoft分析了USAID攻擊中使用的惡意軟件，並發布了包含其發現的報告。 EnvyScout旨在將下一階段的有效負載拖放到受感染的系統上，同時還捕獲並洩露某些數據-主要是Windows帳戶的NTLM憑據。威脅是以名稱" NV.html"分發的HTML / JS文件附件。執行後，NV文件將嘗試從file：// URL加載圖像。同時，可以在黑客的控制下將登錄用戶的Windows NTLM憑據發送到遠程服務器。然後，網絡罪犯可以嘗試通過暴力手段獲取數據中包含的純文本密碼。

EnvyScout通過將嵌入的文本blob轉換為名為" NV.img"的損壞的圖像文件來升級攻擊，該文件將保存在本地系統上。如果圖像文件是由用戶啟動的，它將顯示一個名為NV的快捷方式，該快捷方式將執行名為" BOOM.exe"的隱藏文件。隱藏的文件是BoomBox惡意軟件的下一階段有效負載的一部分。

應當指出，據觀察，EnvyScout已部署在其他網絡釣魚活動中。據信息安全研究人員弗洛里安·羅斯（Florian Roth）稱，威脅來自來自比利時大使館的冒充官方電子郵件的網絡釣魚電子郵件。