EnvyScoutマルウェア

EnvyScoutは、米国国際開発庁（USAID）になりすましたフィッシング攻撃で使用された新しいマルウェア株です。この作戦を担当する脅威アクターは、SolarWindsに対するサプライチェーン攻撃を実行したのと同じハッカー集団であるAPT29の出身です。 APT29はロシアと関係があると考えられています。同じ脅威アクターを指定するために使用される他の名前は、Nobelium、SolarStorm、DarkHalo、NC2452、およびStellarPartileです。

ハッカーはなんとかUSAIDに属する連絡先アカウントを侵害し、150を超えるさまざまなエンティティに3000を超えるフィッシングメールを送信しました。ターゲットには、人権と人道的活動、および国際開発に関与する組織と政府機関が含まれていました。 Infosecの研究者は、USAID攻撃の一環として、これまでに見たことのない4つのマルウェア株を発見しました。「EnvyScout」という名前のHTML添付ファイル、「BoomBox」という名前のダウンローダー、「NativeZone」という名前のローダー、「 VaporRage 」という名前のシェルコードです。侵害されたマシンにドロップされる最初の脅威はEnvyScoutです。

EnvyScoutの詳細

マイクロソフトは、USAID攻撃で使用されたマルウェアを分析し、その結果を含むレポートをリリースしました。 EnvyScoutは、感染したシステムに次の段階のペイロードをドロップすると同時に、特定のデータ（主にWindowsアカウントのNTLMクレデンシャル）をキャプチャして盗み出すように設計されています。脅威は、「NV.html」という名前で配布されているHTML / JS添付ファイルです。実行されると、NVファイルはfile：// URLからイメージをロードしようとします。同時に、ログに記録されたユーザーのWindows NTLM資格情報が、ハッカーの制御下にあるリモートサーバーに送信される可能性があります。サイバー犯罪者は、ブルートフォース方式でデータに含まれるプレーンテキストのパスワードに到達しようとする可能性があります。

EnvyScoutは、埋め込まれたテキストBLOBを、ローカルシステムに保存される「NV.img」という名前の破損した画像ファイルに変換することにより、攻撃をエスカレートします。イメージファイルがユーザーによって開始された場合、「BOOM.exe」という名前の隠しファイルを実行するNVというショートカットが表示されます。隠しファイルは、BoomBoxマルウェアの次の段階のペイロードの一部です。

EnvyScoutは、別のフィッシングキャンペーンで展開されていることが確認されていることに注意してください。 infosecの研究者であるFlorianRothによると、この脅威は、ベルギー大使館からの公式通信を装ったフィッシングメールに付随していたとのことです。