Licences multi-appareils (remises sur volume)

Changer de région

English Dansk Deutsch Español Français Italiano Nederlands Polski Português Svenska Türkçe Русский हिन्दी 日本語 汉语 漢語
Threat Database Malware Logiciel malveillant BoomBox

Logiciel malveillant BoomBox

Par Mezo en Malware
Se traduisent par :
Français

Le logiciel malveillant BoomBox est une menace de téléchargement de stade intermédiaire utilisée dans une attaque de phishing se faisant passer pour l'Agence des États-Unis pour le développement international (USAID). L'acteur de la menace a réussi à prendre le contrôle du compte Contact de l'agence et l'a ensuite utilisé pour envoyer plus de 3000 e-mails de phishing à plus de 150 cibles. Les organisations ciblées comprenaient des agences gouvernementales et des entités impliquées dans les droits de l'homme et l'action humanitaire, ainsi que dans le développement international.

L'attaque est attribuée au groupe APT29, les mêmes hackers qui ont mené l'attaque de la chaîne d'approvisionnement contre SolarWinds. APT29 est également connu sous les noms de Nobelium, SolarStorm, DarkHalo, NC2452, etc. On pense que les pirates ont des liens avec la Russie.

BoomBox est l'un des quatre outils de logiciels malveillants inédits qu'ATP29 a utilisés dans l'opération de l'USAID. Leurs autres outils menaçants sont la pièce jointe HTML EnvyScout, le chargeur NativeZone et le shellcode VaporRage.

Détails de la BoomBox

BoomBox est l'une des charges utiles intermédiaires de l'opération. Il est livré au système infecté sous forme de fichier BOOM.exe caché dans une image ISO déposée par le logiciel malveillant EnvyScout. La fonctionnalité principale de BoomBox est de récupérer deux fichiers de logiciels malveillants cryptés sur la machine compromise à partir de DropBox. La menace va ensuite déchiffrer et enregistrer les deux fichiers sur le système local sous «% AppData% MicrosoftNativeCacheNativeCacheSvc.dll» et «% AppData% SystemCertificatesCertPKIProvider.dll». L'étape suivante pour BoomBox consiste à exécuter les fichiers via rundll32.exe. Les fichiers livrés portent les charges utiles pour les menaces NativeZone et VaporRage.

En tant qu'activité finale, BoomBox exécutera une requête LDAP pour tenter de collecter des détails tels que le nom du compte SAM, l'e-mail, le nom distinctif et le nom d'affichage de tous les utilisateurs du domaine. Les données récoltées seront cryptées et téléchargées sur un serveur distant.

Tendance

Le plus regardé

Chargement...