Удалить вредоносное ПО EnvyScout

Хакеры APT29, также отслеживаемые под названием группы Nobelium, недавно развернули новую кампанию атак, в которой используется совершенно новый массив образцов вредоносного ПО. Ранее необнаруженные семейства вредоносных программ, вероятно, были разработаны преступниками Nobelium и используются в тщательно спланированных атаках, которые включают в себя несколько этапов выполнения.

На данный момент недавняя кампания была нацелена на несколько организаций по всему миру, наиболее известной из которых является Агентство США по международному развитию (USAID). Предположительно, хакерам удалось взломать одну из учетных записей электронной почты организации, а затем использовать ее для рассылки спам-письма с различной полезной нагрузкой. Целевые организации охватывают широкий спектр секторов, таких как развитие, гуманитарные, политические и различные некоммерческие организации.

Одна из первых полезных нагрузок, участвующих в этих атаках, называется EnvyScout. Это очень простой вредоносный файл, который использует комбинацию HTML и JavaScript для загрузки специального изображения с внешнего сервера. Однако способ загрузки позволяет злоумышленникам получить учетные данные пользователя Windows NTLM (NT Lan Manager) в закодированном состоянии. Затем они могут попытаться восстановить пароль в виде обычного текста и использовать его для взлома машины жертвы с целью развертывания дополнительных полезных данных.

Вредоносное ПО EnvyScout - это самый первый этап цепочки атак, которые хакеры Nobelium проводят в своей недавней операции. Пользователи должны опасаться подозрительных электронных писем с просьбой загрузить и просмотреть вложения - вы всегда должны сканировать такие файлы с помощью подходящего инструмента безопасности.