Verwijder VaporRage Malware

Nobelium, of APT29, is een cybercriminaliteitsorganisatie die vermoedelijk vanuit Rusland opereert. Ze werden begin 2021 populair vanwege hun aanval op de softwareleverancier SolarWinds. Voor deze campagne wisten de criminelen een gecompliceerde supply chain-aanval uit te voeren, die maandenlang onopgemerkt bleef. Slechts een paar maanden nadat de SolarWinds-aanval werd ontdekt en geneutraliseerd, zijn de Nobelium-hackers terug met vier malwarefamilies, die via phishing-e-mails aan hun slachtoffers worden bezorgd. Verrassend genoeg zijn de criminelen erin geslaagd e-mailadressen van het Amerikaanse Agentschap voor Internationale Ontwikkeling in gevaar te brengen - dit maakt de aanval veel gevaarlijker omdat slachtoffers waarschijnlijk denken dat de e-mails legitiem zijn.

Zodra de phishing-e-mail is afgeleverd, wordt de ontvanger aangespoord om een kwaadaardige e-mailbijlage te downloaden, die een meerfasige aanval start waarbij meerdere malwarefamilies betrokken zijn. De eerste payload is EnvyScout, gevolgd door BoomBox en NativeZone, en eindigend met het VaporRage-implantaat.

De VaporRage Malware is het laatste stukje van de puzzel en is ontworpen om verborgen te blijven op de gecompromitteerde machine en regelmatig verbinding te maken met een server op afstand om informatie uit te wisselen en code uit te voeren. In plaats van te vertrouwen op het uitvoeren van opdrachten op afstand, hebben de Nobelium-hackers ervoor gekozen om vooraf gemaakte shellcode te implementeren die de VaporRage-malware vervolgens uitvoert. Daarnaast liet VaporRage soms een kopie van het Cobalt Strike-baken vallen om de criminelen meer controle te geven over het gecompromitteerde systeem.

Helaas lijkt het erop dat de recente aanval van de Nobelium-hackers nog steeds aan de gang is, en dat het bereik in de komende weken mogelijk nog groter wordt. Gebruikers en bedrijven kunnen veilig blijven door te vertrouwen op antimalwaresoftware en de nieuwste praktijken voor veilig surfen op het web te volgen.