Usuń złośliwe oprogramowanie EnvyScout

Hakerzy APT29, również śledzeni pod nazwą grupy Nobelium, niedawno rozpętali nową kampanię ataków, która wykorzystuje zupełnie nowy zestaw próbek złośliwego oprogramowania. Wcześniej niewykryte rodziny złośliwego oprogramowania prawdopodobnie zostały opracowane przez przestępców z Nobelium i są wykorzystywane w starannie zaplanowanych atakach, które obejmują wiele etapów wykonania.

Jak dotąd ostatnia kampania była wymierzona w kilka organizacji na całym świecie, z których najważniejszą jest Amerykańska Agencja Rozwoju Międzynarodowego (USAID). Podobno hakerom udało się przejąć jedno z kont e-mail organizacji, a następnie wykorzystać je, aby wysłać wiadomości spamowe dostarczające różne ładunki. Docelowe organizacje obejmują szeroki zakres sektorów, takich jak rozwój, pomoc humanitarna, polityczne i różne organizacje non-profit.

Jednym z pierwszych ładunków zaangażowanych w te ataki jest EnvyScout. Jest to bardzo prosty złośliwy plik, który wykorzystuje kombinację HTML i JavaScript do próby załadowania specjalnego obrazu z serwera zewnętrznego. Jednak sposób ładowania umożliwia atakującym uzyskanie poświadczeń użytkownika systemu Windows NTLM (NT Lan Manager) w stanie zakodowanym. Następnie mogą spróbować odzyskać hasło w postaci zwykłego tekstu i użyć go do złamania zabezpieczeń maszyny ofiary w celu rozmieszczenia dodatkowych ładunków.

Złośliwe oprogramowanie EnvyScout jest pierwszym etapem łańcucha ataków, które hakerzy Nobelium przeprowadzają podczas swojej ostatniej operacji. Użytkownicy powinni uważać na podejrzane wiadomości e-mail z prośbą o pobranie i wyświetlenie załącznika - zawsze należy skanować takie pliki za pomocą odpowiedniego narzędzia zabezpieczającego.