EnvyScout Malware
EnvyScout ist eine neue Malware-Sorte, die bei einem Phishing-Angriff verwendet wurde, bei dem die US-amerikanische Agentur für internationale Entwicklung (USAID) imitiert wurde. Die für die Operation verantwortlichen Bedrohungsakteure stammen von APT29, dem gleichen Hacker-Kollektiv, das den Supply-Chain-Angriff gegen SolarWinds durchgeführt hat. Es wird angenommen, dass APT29 Verbindungen zu Russland hat. Andere Namen, die zur Bezeichnung desselben Bedrohungsakteurs verwendet werden, sind Nobelium, SolarStorm, DarkHalo, NC2452 und StellarPartile.
Den Hackern gelang es, ein Kontaktkonto von USAID zu kompromittieren und anschließend über 3000 Phishing-E-Mails an mehr als 150 verschiedene Unternehmen zu senden. Zu den Zielen gehörten Organisationen und Regierungsbehörden, die sich mit Menschenrechten und humanitärer Arbeit sowie der internationalen Entwicklung befassen. Infosec-Forscher entdeckten im Rahmen des USAID-Angriffs vier nie zuvor gesehene Malware-Stämme - einen HTML-Anhang namens "EnvyScout", einen Downloader namens "BoomBox", einen Loader namens "NativeZone" und einen Shellcode namens "VaporRage". Die erste Bedrohung, die auf gefährdete Computer übertragen wird, ist EnvyScout.
EnvyScout Details
Microsoft analysierte die beim USAID-Angriff verwendete Malware und veröffentlichte einen Bericht mit ihren Ergebnissen. EnvyScout wurde entwickelt, um die Nutzdaten der nächsten Stufe auf das infizierte System zu übertragen und gleichzeitig bestimmte Daten zu erfassen und zu filtern - hauptsächlich NTLM-Anmeldeinformationen von Windows-Konten. Die Bedrohung ist ein HTML / JS-Dateianhang, der unter dem Namen "NV.html" verteilt wird. Bei der Ausführung versucht die NV-Datei, ein Bild aus einer Datei ://URL zu laden. Gleichzeitig können die Windows NTLM-Anmeldeinformationen des angemeldeten Benutzers unter der Kontrolle der Hacker an einen Remote-Server gesendet werden. Die Cyberkriminellen können dann versuchen, das in den Daten enthaltene Klartextkennwort mithilfe von Brute-Force-Methoden zu erreichen.
EnvyScout eskaliert den Angriff, indem ein eingebetteter Text-Blob in eine beschädigte Bilddatei mit dem Namen "NV.img" konvertiert wird, die auf dem lokalen System gespeichert wird. Wenn die Bilddatei vom Benutzer initiiert wird, wird eine Verknüpfung mit dem Namen NV angezeigt, die eine versteckte Datei mit dem Namen "BOOM.exe" ausführt. Die versteckte Datei ist Teil der Nutzlast der nächsten Stufe für die BoomBox-Malware.
Es ist zu beachten, dass EnvyScout in einer anderen Phishing-Kampagne eingesetzt wurde. Laut dem Infosec-Forscher Florian Roth war die Bedrohung mit Phishing-E-Mails verbunden, die sich als offizielle Korrespondenz der belgischen Botschaft ausgaben.
