BoomBoxマルウェア

BoomBoxマルウェアは、米国国際開発庁（USAID）になりすましたフィッシング攻撃で使用される中間段階のダウンローダーの脅威です。攻撃者はなんとか代理店の連絡先アカウントを乗っ取り、それを使用して3000を超えるフィッシングメールを150を超えるターゲットに送信しました。対象となる組織には、国際開発だけでなく、人権や人道活動に関与する政府機関や団体が含まれていました。

この攻撃は、SolarWindsに対してサプライチェーン攻撃を実行したのと同じハッカーであるAPT29グループに起因します。 APT29は、Nobelium、SolarStorm、DarkHalo、NC2452などの名前でも知られています。ハッカーはロシアと関係があると考えられています。

BoomBoxは、ATP29がUSAIDの運用で使用した4つのこれまでにないマルウェアツールの1つです。他の脅威となるツールは、HTML添付ファイルEnvyScout 、 NativeZoneローダー、およびVaporRageシェルコードです。

ブームボックスの詳細

BoomBoxは、操作の中間段階のペイロードの1つです。 EnvyScoutマルウェアによってドロップされたISOイメージ内の隠しBOOM.exeファイルとして感染したシステムに配信されます。 BoomBoxの主な機能は、2つの暗号化されたマルウェアファイルをDropBoxから侵入先のマシンにフェッチすることです。次に、脅威は2つのファイルを復号化し、ローカルシステムに「％AppData％MicrosoftNativeCacheNativeCacheSvc.dll」および「％AppData％SystemCertificatesCertPKIProvider.dll」として保存します。 BoomBoxの次のステップは、rundll32.exeを介してファイルを実行することです。配信されたファイルには、NativeZoneおよびVaporRageの脅威のペイロードが含まれています。

最後のアクティビティとして、BoomBoxはLDAPクエリを実行して、すべてのドメインユーザーのSAMアカウント名、電子メール、識別名、表示名などの詳細を収集しようとします。収集されたデータは暗号化され、リモートサーバーにアップロードされます。