Fjern VaporRage Malware

Nobelium, eller APT29, er en nettkriminalitetsorganisasjon som antas å operere fra Russland. De ble populære i begynnelsen av 2021 på grunn av angrepet mot SolarWinds-programvareleverandøren. For denne kampanjen klarte kriminelle å gjennomføre et komplisert forsyningskjedeangrep, som fortsatte ubemerket i flere måneder. Bare noen få måneder etter at SolarWinds-angrepet ble oppdaget og nøytralisert, er Nobelium-hackerne tilbake med fire skadelige familier, som blir levert til ofrene sine via phishing-e-post. Overraskende har kriminelle klart å kompromittere e-postadresser som eies av US Agency for International Development - dette gjør angrepet mye farligere siden ofre sannsynligvis tror e-postene er legitime.

Når phishing-e-posten er levert, oppfordres mottakeren til å laste ned et ondsinnet vedlegg til e-post, som starter et angrep i flere trinn som involverer flere skadelige familier. Den første nyttelasten er EnvyScout, etterfulgt av BoomBox og NativeZone, og slutter med VaporRage-implantatet.

VaporRage Malware er den siste biten i puslespillet, og den er designet for å holde seg skjult på den kompromitterte maskinen og regelmessig koble til en fjernkontrollserver for å utveksle informasjon og kode for å utføre. I stedet for å stole på utførelse av fjernkommando, har Nobelium-hackerne valgt å distribuere forhåndsinnstilt skallkode som VaporRage-skadelig programvare deretter kjører. I tillegg til dette dro VaporRage noen ganger en kopi av Cobalt Strike-fyret for å gi kriminelle mer kontroll over det kompromitterte systemet.

Dessverre ser det ut til at det nylige angrepet fra Nobelium-hackerne fortsatt pågår, og det kan utvide rekkevidden enda mer de neste ukene. Brukere og selskaper kan være trygge ved å stole på programvare mot skadelig programvare og følge de siste sikre nettlesingsrutinene.