Fjern VaporRage Malware

Nobelium, eller APT29, er en cyberkriminalitetsorganisation, der menes at operere fra Rusland. De blev populære i begyndelsen af 2021 på grund af deres angreb mod SolarWinds-softwareleverandøren. Til denne kampagne lykkedes det kriminelle at udføre et kompliceret angreb i forsyningskæden, som fortsatte ubemærket i flere måneder. Bare et par måneder efter, at SolarWinds-angrebet blev opdaget og neutraliseret, er Nobelium-hackerne tilbage med fire malware-familier, der leveres til deres ofre via phishing-e-mails. Overraskende nok har kriminelle formået at kompromittere e-mail-adresser, der ejes af det amerikanske agentur for international udvikling - dette gør angrebet langt farligere, da ofre sandsynligvis synes, at e-mails er legitime.

Når phishing-e-mailen er leveret, opfordres modtageren til at downloade en ondsindet vedhæftet fil til e-mail, som starter et angreb i flere trin, der involverer flere malware-familier. Den første nyttelast er EnvyScout efterfulgt af BoomBox og NativeZone og slutter med VaporRage-implantatet.

VaporRage Malware er det sidste stykke af puslespillet, og det er designet til at forblive skjult på den kompromitterede maskine og regelmæssigt oprette forbindelse til en fjernbetjeningsserver for at udveksle information og kode, der skal udføres. I stedet for at stole på udførelse af fjernkommando har Nobelium-hackerne valgt at implementere foruddefineret shellcode, som VaporRage-malware derefter udfører. Ud over dette faldt VaporRage undertiden en kopi af Cobalt Strike-fyret for at give kriminelle mere kontrol over det kompromitterede system.

Desværre ser det ud til, at Nobelium-hackernes nylige angreb stadig er i gang, og det kan udvide rækkevidden endnu mere i de næste par uger. Brugere og virksomheder kan forblive sikre ved at stole på anti-malware-software og følge de nyeste sikre webbrowsingsmetoder.