Mehrgerätelizenzen (Mengenrabatte)

Region ändern

English Dansk Deutsch Español Français Italiano Nederlands Polski Português Svenska Türkçe Русский हिन्दी 日本語 汉语 漢語
Threat Database Malware BoomBox Malware

BoomBox Malware

Von Mezo in Malware
Übersetzen Sie in:
Deutsch

Die BoomBox-Malware ist eine Downloader-Bedrohung im mittleren Stadium, die bei einem Phishing-Angriff durchgeführt im Namen der US-amerikanische Agentur für internationale Entwicklung (USAID) eingesetzt wird. Dem Bedrohungsakteur gelang es, das Kontaktkonto der Agentur zu übernehmen und damit über 3000 Phishing-E-Mails an mehr als 150 Ziele zu senden. Zu den Zielorganisationen gehörten Regierungsbehörden und Organisationen, die sich mit Menschenrechten und humanitärer Arbeit sowie der internationalen Entwicklung befassen.

Der Angriff wird der APT29- Gruppe zugeschrieben, denselben Hackern, die den Supply-Chain-Angriff gegen SolarWinds ausgeführt haben. APT29 ist auch unter den Namen Nobelium, SolarStorm, DarkHalo, NC2452 und mehr bekannt. Es wird angenommen, dass die Hacker Verbindungen nach Russland haben.

BoomBox ist eines der vier nie zuvor gesehenen Malware-Tools, die ATP29 im USAID-Betrieb verwendet hat. Ihre anderen bedrohlichen Tools sind der HTML-Anhang EnvyScout, der NativeZone- Loader und der VaporRage- Shellcode.

BoomBox Details

BoomBox ist eine der Nutzlasten der mittleren Stufe im Betrieb. Es wird als versteckte BOOM.exe-Datei in einem ISO-Image, das von der EnvyScout-Malware geliefert wurde, an das infizierte System übermittelt. Die Hauptfunktionalität von BoomBox besteht darin, zwei verschlüsselte Malware-Dateien von DropBox auf den gefährdeten Computer abzurufen. Die Bedrohung entschlüsselt und speichert die beiden Dateien auf dem lokalen System als '% AppData% MicrosoftNativeCacheNativeCacheSvc.dll' und '% AppData% SystemCertificatesCertPKIProvider.dll'. Der nächste Schritt für BoomBox ist die Ausführung der Dateien über rundll32.exe. Die gelieferten Dateien enthalten die Nutzdaten für die NativeZone- und VaporRage-Bedrohungen.

Als letzte Aktivität führt BoomBox eine LDAP-Abfrage aus, um Details wie den Namen des SAM-Kontos, die E-Mail-Adresse, den definierten Namen und den Anzeigenamen aller Domänenbenutzer zu erfassen. Die gesammelten Daten werden verschlüsselt und auf einen Remote-Server hochgeladen.

Im Trend

Am häufigsten gesehen

Wird geladen...