Pašalinkite „VaporRage“ kenkėjišką programą
„Nobelium“ arba APT29 yra kibernetinių nusikaltimų organizacija, veikianti veikianti iš Rusijos. Jie išpopuliarėjo 2021 metų pradžioje dėl savo išpuolio prieš „SolarWinds“ programinės įrangos pardavėją. Šios kampanijos metu nusikaltėliams pavyko įvykdyti sudėtingą tiekimo grandinės ataką, kuri kelis mėnesius buvo nepastebėta. Praėjus vos keliems mėnesiams po to, kai buvo atrasta ir neutralizuota „SolarWinds“ ataka, „Nobelium“ įsilaužėliai grįžo su keturiomis kenkėjiškų programų šeimomis, kurios aukoms pristatomos per sukčiavimo el. Laiškus. Keista, kad nusikaltėliai sugebėjo sukompromituoti JAV tarptautinės plėtros agentūros el. Pašto adresus - dėl to ataka tampa daug pavojingesnė, nes aukos greičiausiai mano, kad el. Laiškai yra teisėti.
Pristačius sukčiavimo el. Laišką, gavėjas raginamas atsisiųsti kenkėjišką el. Pašto priedą, kuris pradeda daugiapakopę ataką, apimančią kelias kenkėjiškų programų šeimas. Pirmoji naudingoji apkrova yra „EnvyScout“, po jos seka „BoomBox“ ir „NativeZone“ bei baigiama „VaporRage“ implantu.
„VaporRage“ kenkėjiška programa yra paskutinė dėlionės dalis. Ji sukurta taip, kad liktų paslėpta pažeistoje mašinoje ir reguliariai prisijungtų prie nuotolinio valdymo serverio, kad galėtų keistis vykdoma informacija ir kodu. Užuot pasikliaudami nuotoliniu komandos vykdymu, „Nobelium“ įsilaužėliai pasirinko įdiegti iš anksto sukurtą apvalkalo kodą, kurį tada vykdo „VaporRage“ kenkėjiška programa. Be to, „VaporRage“ kartais numetė „Cobalt Strike“ švyturio kopiją, kad nusikaltėliai galėtų geriau kontroliuoti pažeistą sistemą.
Deja, panašu, kad neseniai vykstantys „Nobelium“ įsilaužėlių išpuoliai tebevyksta, ir per ateinančias kelias savaites jis gali dar labiau išplėsti savo pasiekiamumą. Vartotojai ir įmonės gali būti saugūs pasikliaudami antivirusine programine įranga ir laikydamiesi naujausios saugaus naršymo internete praktikos.