Threat Database Malware VaporRage Malware

VaporRage Malware

Die VaporRage-Malware ist eine Bedrohung, die im Rahmen einer neuen Phishing-Kampagne eingesetzt wird, die der Hacker-Gruppe APT29 zugeschrieben wird, denselben Hackern, die den Supply-Chain-Angriff gegen SolarWinds durchgeführt haben. APT29 wird auch unter verschiedenen anderen Bezeichnungen wie Nobelium, SolarStorm, DarkHalo, NC2452 und mehr verfolgt. Infosec-Forscher glauben, dass die Bedrohungsakteure von Russland unterstützt werden.

Bei ihren letzten Operationen konnte APT29 das Kontaktkonto der US-amerikanischen Agentur für internationale Entwicklung (USAID) verletzen. Nach dem Angriff verwendeten die Hacker das legitime Marketingkonto, um sich als USAID auszugeben und über 3000 Phishing-E-Mails an mehr als 150 Ziele zu senden. Zu den ausgewählten Zielen gehörten Organisationen und Regierungsbehörden, die sich mit internationaler Entwicklung, humanitärer und Menschenrechtsarbeit befassen.

VaporRage Details

VaporRage ist eines der vier bedrohlichen Tools, die APT29 bei der USAID-Phishing-Attacke eingesetzt hat. Die anderen drei sind ein HTML-Anhang mit dem Namen " EnvyScout", ein Downloader mit dem Namen "BoomBox" und ein Loader mit dem Namen "NativeZone". Bevor VaporRage aktiviert wird, müssen zwei weitere Malware-Bedrohungen aufgerufen werden.

Zunächst muss BoomBox die VaporRage-Nutzdaten in Form einer Datei mit dem Namen "CertPKIProvider.dll" bereitstellen. Anschließend muss die NativeZone-Malware die Datei laden und ausführen. Die Hauptaufgabe von VaporRage besteht darin, eine Verbindung mit dem Command-and-Control-Server des Vorgangs herzustellen, sich selbst zu registrieren und sich dann regelmäßig an den Remote-Standort zu wenden, um einen bereitgestellten Shellcode abzurufen. VaporRage kann angewiesen werden, bestimmte Shellcodes herunterzuladen und auszuführen, abhängig von den Absichten der Hacker, einschließlich Trojanern und Cobalt Strike-Beacons.

Im Trend

Am häufigsten gesehen

Wird geladen...