刪除VaporRage惡意軟件
Nobelium或APT29是一個網絡犯罪組織,據信是從俄羅斯經營的。由於對SolarWinds軟件供應商的攻擊,它們在2021年初開始流行。在這場運動中,罪犯成功地進行了一次復雜的供應鏈攻擊,這種攻擊持續了數月之久未被察覺。在發現並消除了SolarWinds攻擊後僅幾個月,Nobelium黑客又回來了四個惡意軟件家族,這些惡意軟件家族通過網絡釣魚電子郵件傳遞給受害者。令人驚訝的是,犯罪分子設法破壞了美國國際開發署擁有的電子郵件地址,這使攻擊更加危險,因為受害者可能認為這些電子郵件是合法的。
網上誘騙電子郵件發送完畢後,會敦促收件人下載惡意電子郵件附件,從而啟動涉及多個惡意軟件家族的多階段攻擊。第一個有效載荷是EnvyScout,其次是BoomBox和NativeZone,最後是VaporRage植入物。
VaporRage惡意軟件是最後一個難題,它旨在隱藏在受感染計算機上,並定期連接到遠程控制服務器以交換信息和代碼以執行。 Nobelium黑客沒有依靠遠程命令執行,而是選擇部署預製的Shellcode,然後由VaporRage惡意軟件執行。除此之外,VaporRage有時還會丟棄一份Cobalt Strike信標,以使犯罪分子對受到入侵的系統有更多的控制權。
不幸的是,看起來Nobelium黑客最近的攻擊仍在繼續,並且可能在接下來的幾週內擴大其影響範圍。用戶和公司可以依靠反惡意軟件和遵循最新的安全Web瀏覽慣例來確保安全。