VaporRageマルウェア

VaporRage Malwareは、SolarWindsに対してサプライチェーン攻撃を行ったのと同じハッカーであるAPT29ハッカーグループに起因する新しいフィッシングキャンペーンの一部として展開された脅威です。 APT29は、Nobelium、SolarStorm、DarkHalo、NC2452などの他のいくつかの指定でも追跡されます。 Infosecの研究者は、脅威の攻撃者はロシアに後押しされていると信じています。

最新の運用では、APT29は米国国際開発庁（USAID）の連絡先アカウントに違反することに成功しました。戦後、ハッカーは合法的なマーケティングアカウントを使用して、USAIDになりすまし、150を超えるターゲットに3000を超えるフィッシングメールを送信しました。選択されたターゲットには、国際開発、人道的および人権活動に関与する組織および政府機関が含まれていました。

VaporRageの詳細

VaporRageは、APT29がUSAIDフィッシング攻撃で展開した4つの脅威ツールの1つであり、他の3つは「 EnvyScout 」という名前のHTML添付ファイル、「BoomBox」という名前のダウンローダー、および「NativeZone」という名前のローダーです。 VaporRageをアクティブ化する前に、他の2つのマルウェア脅威を呼び出す必要があります。

まず、BoomBoxは、「CertPKIProvider.dll」という名前のファイルを装ってVaporRageペイロードを配信する必要があります。次に、NativeZoneマルウェアはファイルをロードして実行する必要があります。 VaporRageの主なタスクは、操作のコマンドアンドコントロールサーバーとの接続を確立し、それ自体を登録してから、定期的にリモートサイトにアクセスして、提供されたシェルコードをフェッチすることです。 VaporRageは、トロイの木馬やCobalt Strikeビーコンなどのハッカーの意図に応じて、特定のシェルコードをダウンロードして実行するように指示できます。