Ta bort EnvyScout Malware

APT29-hackarna, också spårade under gruppnamnet Nobelium, har nyligen släppt lös en ny attackkampanj, som använder en helt ny uppsättning malware-prover. De tidigare oupptäckta skadliga familjerna har troligen utvecklats av Nobelium-brottslingarna och de används i noggrant planerade attacker, som involverar flera steg i avrättningen.

Hittills har den senaste kampanjen riktat sig till flera organisationer runt om i världen, varav den mest anmärkningsvärda är USA: s byrå för internationell utveckling (USAID.) Enligt uppgift lyckades hackarna kompromissa med ett av organisationens e-postkonton och sedan missbruka det för att skicka ut skräppostmeddelanden som levererar olika nyttolast. De riktade organisationerna täcker ett brett spektrum av sektorer som utveckling, humanitära, politiska och olika ideella organisationer.

En av de första nyttolasten som är involverade i dessa attacker kallas EnvyScout. Det är en mycket enkel skadlig fil som använder en kombination av HTML och JavaScript för att försöka ladda en speciell bild från en extern server. Hur laddningen sker gör det dock möjligt för angriparna att få användarens Windows NTLM (NT Lan Manager) referenser i ett kodat tillstånd. De kan sedan försöka återställa lösenordet för vanlig text och använda det för att äventyra offrets maskin för att distribuera ytterligare nyttolaster.

EnvyScout Malware är den allra första etappen av attackkedjan som Nobelium-hackarna utför i sin senaste operation. Användare bör vara försiktiga med misstänkta e-postmeddelanden som ber dem ladda ner och visa en bilaga - du bör alltid skanna sådana filer med hjälp av ett lämpligt säkerhetsverktyg.