Rimuovi VaporRage Malware

Nobelium, o APT29, è un'organizzazione per il crimine informatico che si ritiene operi dalla Russia. Hanno guadagnato popolarità all'inizio del 2021 a causa del loro attacco contro il fornitore di software SolarWinds. Per questa campagna, i criminali sono riusciti a eseguire un complicato attacco alla catena di approvvigionamento, che è andato avanti inosservato per mesi. Solo pochi mesi dopo che l'attacco SolarWinds è stato scoperto e neutralizzato, gli hacker Nobelium sono tornati con quattro famiglie di malware, che vengono consegnate alle loro vittime tramite e-mail di phishing. Sorprendentemente, i criminali sono riusciti a compromettere gli indirizzi e-mail di proprietà dell'Agenzia statunitense per lo sviluppo internazionale - questo rende l'attacco molto più pericoloso poiché è probabile che le vittime pensino che le e-mail siano legittime.

Una volta recapitata l'e-mail di phishing, il destinatario è invitato a scaricare un allegato e-mail dannoso, che avvia un attacco in più fasi che coinvolge più famiglie di malware. Il primo carico utile è EnvyScout, seguito da BoomBox e NativeZone e termina con l'impianto VaporRage.

Il malware VaporRage è l'ultimo pezzo del puzzle ed è progettato per rimanere nascosto sulla macchina compromessa e connettersi regolarmente a un server di controllo remoto per scambiare informazioni e codice da eseguire. Invece di fare affidamento sull'esecuzione di comandi remoti, gli hacker di Nobelium hanno scelto di distribuire uno shellcode prefabbricato che il malware VaporRage esegue quindi. Oltre a questo, VaporRage a volte rilasciava una copia del beacon Cobalt Strike per garantire ai criminali un maggiore controllo sul sistema compromesso.

Sfortunatamente, sembra che il recente attacco degli hacker Nobelium sia ancora in corso e potrebbe espandere ulteriormente la sua portata nelle prossime settimane. Utenti e aziende possono stare al sicuro affidandosi a software anti-malware e seguendo le più recenti pratiche di navigazione sicura sul Web.