APT28 frigør SkinnyBoy-malware

Den russiske gruppe Advanced Advanced Persistent Threat (APT), der spores under aliaserne APT28 eller Fancy Bear, har for nylig frigivet et nyt stykke malware i naturen. Malwaren, kaldet SkinnyBoy, blev brugt mod flere offentlige institutioner i 2021. Kriminelle ser ud til at have målrettede enheder, der er forbundet med udenrigsanliggender, militær og forsvar og udenlandske ambassader. Mens nogle af angrebene var rettet mod medlemmer af Den Europæiske Union, blev SkinnyBoy Malware også opdaget på kompromitterede netværk tilhørende amerikanske organisationer.

Men hvad gør SkinnyBoy Malware nøjagtigt? Denne trussel leveres typisk via en spear-phishing-e-mail, der bærer et Microsoft Word-dokument. Mens vedhæftet fil kan se legitim ud, pakker den faktisk et ondsindet script, der udpakker og initialiserer en malware-downloader. Kriminelle ændrer sandsynligvis deres phishing-mail baseret på modtageren - de foregav ofte at underrette brugeren om en afventende invitation til en kommende international begivenhed.

Når truslen er implementeret med succes, starter den ikke med det samme. I stedet programmerer SkinnyBoy Malware Windows til at starte det næste gang det starter op. Den forsinkede udførelse er et typisk trick, som internetkriminelle bruger for at undgå afsløring. Når den er kørt, bruger SkinnyBoy Malware legitime Windows-funktioner til at hente data om det kompromitterede systems softwarekonfiguration - systeminfo.exe og tasklist.exe. Bortset fra dette vil den forsøge at downloade og starte yderligere nyttelast, men indtil videre er disse ikke blevet identificeret.

Det ser ud til, at SkinnyBoy Malwares primære fokus er spionage og at få mere kontrol over det kompromitterede system / netværk. Heldigvis er leverandører af antivirusprodukter allerede opmærksomme på den nye trussel, og de nyeste programrettelser til deres software skal være mere end nok til at afskrække SkinnyBoy Malwares angreb.