Удалить вредоносное ПО VaporRage

Nobelium, или APT29, - это киберпреступная организация, предположительно действующая из России. Они приобрели популярность в начале 2021 года из-за атаки на поставщика программного обеспечения SolarWinds. В рамках этой кампании преступникам удалось провести сложную атаку на цепочку поставок, которая месяцами оставалась незамеченной. Всего через несколько месяцев после того, как атака SolarWinds была обнаружена и нейтрализована, хакеры Nobelium вернулись с четырьмя семействами вредоносных программ, которые доставляются их жертвам через фишинговые электронные письма. Удивительно, но злоумышленникам удалось взломать адреса электронной почты, принадлежащие Агентству международного развития США - это делает атаку намного более опасной, поскольку жертвы, вероятно, сочтут электронные письма законными.

После доставки фишингового письма получателю предлагается загрузить вредоносное вложение электронной почты, что запускает многоэтапную атаку с участием нескольких семейств вредоносных программ. Первая полезная нагрузка - это EnvyScout, за ней следуют BoomBox и NativeZone, а в конце - имплант VaporRage.

Вредоносное ПО VaporRage - это последний кусок головоломки, он предназначен для того, чтобы оставаться скрытым на взломанной машине и регулярно подключаться к серверу удаленного управления для обмена информацией и кодом для выполнения. Вместо того, чтобы полагаться на удаленное выполнение команд, хакеры Nobelium решили развернуть предварительно созданный шелл-код, который затем выполняет вредоносная программа VaporRage. В дополнение к этому, VaporRage иногда сбрасывал копию маяка Cobalt Strike, чтобы предоставить преступникам больший контроль над скомпрометированной системой.

К сожалению, похоже, что недавняя атака хакеров Nobelium все еще продолжается, и в ближайшие несколько недель она может еще больше расширить свой охват. Пользователи и компании могут оставаться в безопасности, полагаясь на антивирусное программное обеспечение и следуя новейшим методам безопасного просмотра веб-страниц.