APT28 Slipper løs SkinnyBoy-skadelig programvare

Den russiske gruppen Advanced Advanced Persistent Threat (APT), sporet under aliasene APT28 eller Fancy Bear, har nylig gitt ut et nytt stykke malware i naturen. Malware, kalt SkinnyBoy, ble brukt mot flere offentlige institusjoner i 2021. Kriminelle ser ut til å ha målrettede enheter tilknyttet utenrikssaker, militær og forsvar og utenlandske ambassader. Mens noen av angrepene var rettet mot medlemmer av EU, ble SkinnyBoy Malware også oppdaget på kompromitterte nettverk som tilhører amerikanske organisasjoner.

Men hva gjør SkinnyBoy Malware akkurat? Denne trusselen leveres vanligvis via en e-post med spydfiske, som bærer et Microsoft Word-dokument. Selv om filvedlegget kan se legitimt ut, pakker det faktisk et ondsinnet skript, som trekker ut og initialiserer en nedlastingsprogramvare for skadelig programvare. Kriminelle vil sannsynligvis endre phishing-e-posten sin basert på mottakeren - de later ofte til å varsle brukeren om en ventende invitasjon til et kommende internasjonalt arrangement.

Etter at trusselen er utplassert, vil den ikke starte umiddelbart. I stedet vil SkinnyBoy Malware programmere Windows for å starte det neste gang det starter opp. Den forsinkede utførelsen er et typisk triks som nettkriminelle bruker for å unngå oppdagelse. Når den er kjørt, bruker SkinnyBoy Malware legitime Windows-funksjoner til å hente data om det kompromitterte systemets programvarekonfigurasjon - systeminfo.exe og tasklist.exe. Bortsett fra dette vil den prøve å laste ned og starte flere nyttelaster, men så langt er disse ikke identifisert.

Det ser ut til at SkinnyBoy Malwares primære fokus er spionasje og å få mer kontroll over det kompromitterte systemet / nettverket. Heldigvis er antivirusproduktleverandører allerede klar over den nye trusselen, og de nyeste oppdateringene til programvaren deres bør være mer enn nok til å avskrekke SkinnyBoy Malwares angrep.