VaporRage Malware

VaporRage Malware es una amenaza implementada como parte de una nueva campaña de phishing atribuida al grupo de piratas informáticos APT29, los mismos piratas informáticos que llevaron a cabo el ataque a la cadena de suministro contra SolarWinds. APT29 también se rastrea bajo varias otras designaciones como Nobelium, SolarStorm, DarkHalo, NC2452 y más. Los investigadores de Infosec creen que los actores de la amenaza están respaldados por Rusia.

En sus últimas operaciones, APT29 logró violar la cuenta Contact de la Agencia de los Estados Unidos para el Desarrollo Internacional (USAID). Después de la guerra, los piratas informáticos utilizaron la cuenta de marketing legítima para hacerse pasar por USAID y enviar más de 3000 correos electrónicos de phishing a más de 150 objetivos. Los objetivos seleccionados incluyeron organizaciones y agencias gubernamentales involucradas en el desarrollo internacional, trabajo humanitario y de derechos humanos.

Detalles de VaporRage

VaporRage es una de las cuatro herramientas amenazantes que APT29 implementó en el ataque de phishing de USAID y las otras 3 son un archivo adjunto HTML llamado ' EnvyScout ', un descargador llamado ' BoomBox ' y un cargador llamado ' NativeZone '. Antes de activar VaporRage, se deben invocar otras dos amenazas de malware.

Primero, BoomBox debe entregar la carga útil de VaporRage bajo la apariencia de un archivo llamado 'CertPKIProvider.dll'. Luego, el malware NativeZone debe cargar y ejecutar el archivo. La tarea principal de VaporRage es establecer una conexión con el servidor de comando y control de la operación, registrarse y luego comunicarse regularmente con el sitio remoto para obtener un código de shell proporcionado. Se puede indicar a VaporRage que descargue y ejecute códigos de shell específicos según las intenciones de los piratas informáticos, incluidos los troyanos y las balizas de Cobalt Strike.