Logiciel malveillant VaporRage

Le Malware VaporRage est une menace déployée dans le cadre d'une nouvelle campagne de phishing attribuée au groupe de hackers APT29, les mêmes hackers qui ont mené l'attaque de la chaîne d'approvisionnement contre SolarWinds. APT29 est également suivi sous plusieurs autres désignations telles que Nobelium, SolarStorm, DarkHalo, NC2452 et plus. Les chercheurs d'Infosec estiment que les acteurs de la menace sont soutenus par la Russie.

Dans leurs dernières opérations, APT29 a réussi à violer le compte Contact de l'Agence des États-Unis pour le développement international (USAID). Après la guerre, les pirates ont utilisé le compte marketing légitime pour usurper l'identité de l'USAID et envoyer plus de 3000 e-mails de phishing à plus de 150 cibles. Les cibles sélectionnées comprenaient des organisations et des agences gouvernementales impliquées dans le développement international, l'action humanitaire et les droits de l'homme.

Détails de VaporRage

VaporRage est l'un des quatre outils menaçants qu'APT29 a déployés dans l'attaque de phishing de l'USAID, les 3 autres étant une pièce jointe HTML nommée "EnvyScout'', un téléchargeur nommé "BoomBox'' et un chargeur appelé "NativeZone''. Avant l'activation de VaporRage, deux autres menaces de logiciels malveillants doivent être invoquées.

Tout d'abord, BoomBox doit fournir la charge utile VaporRage sous la forme d'un fichier nommé «CertPKIProvider.dll». Ensuite, le malware NativeZone doit charger et exécuter le fichier. La tâche principale de VaporRage est d'établir une connexion avec le serveur de commande et de contrôle de l'opération, de s'enregistrer, puis de contacter régulièrement le site distant pour récupérer un shellcode fourni. VaporRage peut être chargé de télécharger et d'exécuter des shellcodes spécifiques en fonction des intentions des pirates informatiques, y compris les chevaux de Troie et les balises Cobalt Strike.