Pašalinkite „EnvyScout“ kenkėjišką programą

APT29 įsilaužėliai, taip pat stebimi grupės vardu „Nobelium“, neseniai pradėjo naują atakos kampaniją, kurioje panaudotas visiškai naujas kenkėjiškų programų pavyzdžių rinkinys. Anksčiau neaptiktų kenkėjiškų programų šeimas greičiausiai sukūrė Nobelio nusikaltėliai, ir jie naudojami kruopščiai suplanuotoms atakoms, kurios apima kelis įvykdymo etapus.

Iki šiol pastaroji kampanija buvo skirta kelioms organizacijoms visame pasaulyje, iš kurių svarbiausia yra JAV Tarptautinės plėtros agentūra (USAID). Tariamai hakeriai sugebėjo sugadinti vieną iš organizacijos el. Pašto paskyrų ir tada piktnaudžiauti ja išsiųsti. šlamšto laiškus, pristatančius įvairius naudingus krovinius. Tikslinės organizacijos apima platų sektorių, tokių kaip plėtros, humanitarinės, politinės ir įvairių ne pelno organizacijų, spektrą.

Vienas iš pirmųjų naudingų apkrovų, dalyvavusių šiose atakose, vadinamas „EnvyScout“. Tai labai paprastas kenkėjiškas failas, kuris naudoja HTML ir „JavaScript“ derinį bandydamas įkelti specialų vaizdą iš išorinio serverio. Tačiau įkrovimo būdas užpuolikams suteikia galimybę gauti vartotojo „Windows NTLM“ („NT Lan Manager“) kredencialus užkoduota būsena. Tada jie gali bandyti atkurti paprasto teksto slaptažodį ir naudoti jį pažeisdami aukos mašiną, kad būtų įdiegti papildomi kroviniai.

„EnvyScout“ kenkėjiška programa yra pats pirmasis atakų grandinės etapas, kurį „Nobelium“ įsilaužėliai atlieka atlikdami pastarąją operaciją. Vartotojai turėtų būti atsargūs dėl įtartinų el. Laiškų, kuriuose prašoma atsisiųsti ir peržiūrėti priedą - tokius failus visada turėtumėte nuskaityti naudodami tinkamą saugos įrankį.