删除VaporRage恶意软件
Nobelium或APT29是一个网络犯罪组织,据信是从俄罗斯经营的。由于对SolarWinds软件供应商的攻击,它们在2021年初开始流行。在这场运动中,罪犯成功地进行了一次复杂的供应链攻击,这种攻击持续了数月之久未被察觉。在发现并消除了SolarWinds攻击后仅几个月,Nobelium黑客又回来了四个恶意软件家族,这些恶意软件家族通过网络钓鱼电子邮件传递给受害者。令人惊讶的是,犯罪分子设法破坏了美国国际开发署拥有的电子邮件地址,这使攻击更加危险,因为受害者可能认为这些电子邮件是合法的。
网上诱骗电子邮件发送完毕后,会敦促收件人下载恶意电子邮件附件,从而启动涉及多个恶意软件家族的多阶段攻击。第一个有效载荷是EnvyScout,其次是BoomBox和NativeZone,最后是VaporRage植入物。
VaporRage恶意软件是最后一个难题,它旨在隐藏在受感染计算机上,并定期连接到远程控制服务器以交换信息和代码以执行。 Nobelium黑客没有依靠远程命令执行,而是选择部署预制的Shellcode,然后由VaporRage恶意软件执行。除此之外,VaporRage有时还会丢弃一份Cobalt Strike信标,以使犯罪分子对受到入侵的系统有更多的控制权。
不幸的是,看起来Nobelium黑客最近的攻击仍在继续,并且可能在接下来的几周内扩大其影响范围。用户和公司可以依靠反恶意软件并遵循最新的安全Web浏览惯例来确保安全。