VaporRageマルウェアを削除します

ノーベリウム（APT29）は、ロシアで活動していると考えられているサイバー犯罪組織です。それらは、SolarWindsソフトウェアベンダーに対する攻撃のために、2021年の初めに人気を博しました。このキャンペーンでは、犯罪者は何とか複雑なサプライチェーン攻撃を実行しましたが、それは何ヶ月も気付かれずに続きました。 SolarWinds攻撃が発見されて無力化されてからわずか数か月後、Nobeliumハッカーは4つのマルウェアファミリーを持ち帰り、フィッシングメールで被害者に配信されています。驚いたことに、犯罪者は米国国際開発庁が所有する電子メールアドレスを侵害することに成功しました。これにより、被害者は電子メールが正当であると考える可能性が高いため、攻撃ははるかに危険になります。

フィッシングメールが配信されると、受信者は悪意のあるメールの添付ファイルをダウンロードするように促されます。これにより、複数のマルウェアファミリが関与する多段階の攻撃が開始されます。最初のペイロードはEnvyScoutで、次にBoomBoxとNativeZoneが続き、VaporRageインプラントで終わります。

VaporRageマルウェアはパズルの最後のピースであり、侵入先のマシンに隠されたままで、定期的にリモートコントロールサーバーに接続して情報と実行するコードを交換するように設計されています。 Nobeliumハッカーは、リモートコマンドの実行に依存する代わりに、VaporRageマルウェアが実行する既成のシェルコードを展開することを選択しました。これに加えて、VaporRageは、侵害されたシステムを犯罪者がより細かく制御できるようにするために、CobaltStrikeビーコンのコピーをドロップすることがありました。

残念ながら、最近のノーベリウムハッカーの攻撃はまだ続いているようで、今後数週間でその範囲がさらに拡大する可能性があります。ユーザーと企業は、マルウェア対策ソフトウェアに依存し、最新の安全なWebブラウジング手法に従うことで、安全を維持できます。