NativeZone Malware

NativeZone Malware er en loader-trussel, der indsættes som en del af et nyt phishing-angreb, der tilskrives den berygtede APT29-hackergruppe. Den samme trusselsaktør stod bag forsyningskædeangrebet, der kompromitterede SolarWinds. APT29 menes at have bånd til Rusland og spores under flere andre navne, herunder SolarStorm, Nobelium, NC2542, DarhHalo og mere.

I sin nye operation lykkedes det APT29 at bryde kontaktkontoen for United States Agency for International Development (USAID). Hackerne fortsatte derefter med at bruge den legitime marketingkonto til at sende over 3000 phishing-e-mails til mere end 150 forskellige mål. Blandt den organisation, der blev ramt af den truende kampagne, var regeringsorganer og enheder involveret i international udvikling samt humanitært arbejde og menneskerettighedsarbejde. En rapport udgivet af Microsoft angående phishing-angrebet afslørede, at APT29 implementerede 4 aldrig tidligere set malware-stammer - en HTML-vedhæftet fil ved navn 'EnvyScout', en downloader ved navn ' BoomBox ', en loader kaldet ' NativeZone ' og en shellcode med navnet ' VaporRage' . '

NativeZone detaljer

NativeZone-malware er en loader designet til at udføre en enkelt opgave - levering af VaporRage-nyttelasten til det brudte system. NativeZone slippes ned på systemet af den tidligere fase malware BoomBox. Truslen gemmes som en fil med navnet 'NativeCacheSvc.dll.' NativeZone er konfigureret til at starte automatisk, når en bruger logger ind på Windows. Efter start via rundll32.exe fortsætter truslen med at starte den anden fil, der er droppet af BoomBox ved navn 'CertPKIProvider.dll.' Den bærer nyttelasten til VaporRage-malware.