Logiciel malveillant EnvyScout

EnvyScout est une nouvelle souche de logiciel malveillant qui a été utilisée dans une attaque de phishing qui s'est fait passer pour l'Agence des États-Unis pour le développement international (USAID). Les acteurs de la menace responsables de l'opération sont issus d'APT29, le même collectif de hackers qui a mené l'attaque de la chaîne d'approvisionnement contre SolarWinds. L'APT29 aurait des liens avec la Russie. Les autres noms utilisés pour désigner le même acteur de la menace sont Nobelium, SolarStorm, DarkHalo, NC2452 et StellarPartile.

Les pirates ont réussi à compromettre un compte Contact appartenant à l'USAID et ont ensuite envoyé plus de 3000 e-mails de phishing à plus de 150 entités différentes. Les cibles comprenaient des organisations et des agences gouvernementales impliquées dans les droits de l'homme et l'action humanitaire, ainsi que dans le développement international. Les chercheurs d'Infosec ont découvert quatre souches de logiciels malveillants jamais vues auparavant dans le cadre de l'attaque de l'USAID - une pièce jointe HTML nommée "EnvyScout'', un téléchargeur nommé "BoomBox'', un chargeur appelé "NativeZone'' et un shellcode nommé "VaporRage''. La première menace à être déposée sur les machines compromises est EnvyScout.

Détails EnvyScout

Microsoft a analysé les logiciels malveillants utilisés dans l'attaque de l'USAID et a publié un rapport contenant leurs conclusions. EnvyScout est conçu pour déposer la charge utile de la prochaine étape sur le système infecté, tout en capturant et en exfiltrant certaines données - principalement les informations d'identification NTLM des comptes Windows. La menace est une pièce jointe HTML / JS distribuée sous le nom «NV.html». Une fois exécuté, le fichier NV essaiera de charger une image à partir d'un fichier: // URL. Dans le même temps, les informations d'identification Windows NTLM de l'utilisateur connecté peuvent être envoyées à un serveur distant sous le contrôle des pirates. Les cybercriminels peuvent alors tenter d'accéder au mot de passe en texte brut contenu dans les données par des méthodes de force brute.

EnvyScout intensifiera l'attaque en convertissant un objet blob de texte intégré en un fichier image corrompu nommé «NV.img» qui sera enregistré sur le système local. Si le fichier image est lancé par l'utilisateur, il affichera un raccourci appelé NV qui exécutera un fichier caché nommé «BOOM.exe». Le fichier caché fait partie de la charge utile de la prochaine étape pour le malware BoomBox.

Il convient de noter qu'EnvyScout a été déployé dans une campagne de phishing différente. Selon le chercheur de l'Infosec Florian Roth, la menace était liée à des e-mails de phishing se présentant comme une correspondance officielle en provenance de l'ambassade de Belgique.