Chiến dịch tấn công được thực hiện thông qua dịch vụ gửi thư hàng loạt hợp pháp Constan Contact mạo danh Cơ quan Phát triển Quốc tế Hoa Kỳ (USAID) để phát tán email lừa đảo. Các chuyên gia phát hiện kẻ đứng sau cuộc tấn công vào USAID lần này là nhóm hacker có tên gọi Nobelium (APT29).

Với mục tiêu là các tổ chức chính phủ, phi chính phủ, các tổ chức tư vấn, quân đội, nhà cung cấp dịch vụ Công nghệ thông tin - viễn thông, viện nghiên cứu, công nghệ, y tế… Nobelium đã mạo danh USAID gửi gần 3.000 email lừa đảo đến người dùng của hơn 150 tổ chức.

Hình ảnh minh họa một email mạo danh USAID

Theo thông tin được Microsoft công bố, trong số bốn phần mềm độc hại mới có một tệp đính kèm HTML được gọi là EnvyScout. Trong tệp đính kèm này có chứa các bộ nạp khởi động BoomBox và NativeZone còn VaporRage chịu trách nhiệm khởi chạy shellcode. Tệp HTML/JS độc hại đầu tiên được thiết kế để lấy cắp thông tin đăng nhập tài khoản người dùng Windows. Ngoài ra, nó còn cài đặt một tệp ISO độc hại trên thiết bị của nạn nhân.

Quy trình minh họa hoạt động của chuỗi lây nhiễm HTML/ISO

Ở gian đoạn tiêp theo của cuộc tấn công, tin tặc sẽ gửi đến cho người dùng một tệp ISO độc hại mạo danh USAID, nếu mở tệp này người dùng sẽ làm khởi chạy một tệp thực thi ẩn với tên BOOM.exe - đây là một phần của bộ mã độc BoomBox. Sau khi được kích hoạt, BoomBox sẽ khởi chạy và cấu hình phần mềm độc hại NativeZone, là phần mềm được xuất hiện dưới dạng thư viện NativeCacheSvc.dll và được khởi chạy tự động mỗi khi người dùng đăng nhập vào tài khoản Windows.

Giai đoạn cuối cùng của cuộc tấn công được thực hiện bởi phần mềm độc hại VaporRage - CertPKIProvider.dll. Sau khi khởi chạy, chương trình này cố gắng liên hệ với máy chủ điều khiển và chuyển tất cả dữ liệu bị đánh cắp của người dùng sang các máy chủ nói trên.