NativeZone Malware

नेटिवज़ोन मैलवेयर एक लोडर खतरा है जिसे कुख्यात APT29 हैकर समूह के लिए जिम्मेदार एक नए फ़िशिंग हमले के हिस्से के रूप में तैनात किया गया है। सोलरविंड्स से समझौता करने वाले आपूर्ति-श्रृंखला हमले के पीछे वही खतरा अभिनेता था। माना जाता है कि APT29 का रूस से संबंध है और इसे SolarStorm, नोबेलियम, NC2542, DarhHalo और कई अन्य नामों के तहत ट्रैक किया जाता है।

अपने नए ऑपरेशन में, APT29 यूनाइटेड स्टेट्स एजेंसी फॉर इंटरनेशनल डेवलपमेंट (USAID) के संपर्क खाते का उल्लंघन करने में कामयाब रहा। इसके बाद हैकर्स ने 150 से अधिक विभिन्न लक्ष्यों पर 3000 से अधिक फ़िशिंग ईमेल भेजने के लिए वैध मार्केटिंग खाते का उपयोग किया। धमकी भरे अभियान से प्रभावित संगठनों में अंतरराष्ट्रीय विकास के साथ-साथ मानवीय और मानवाधिकार कार्यों में शामिल सरकारी एजेंसियां और संस्थाएं शामिल थीं। फ़िशिंग हमले के संबंध में Microsoft द्वारा जारी एक रिपोर्ट से पता चला है कि APT29 ने 4 पहले कभी नहीं देखे गए मैलवेयर उपभेदों को तैनात किया - 'EnvyScout' नामक एक HTML अटैचमेंट, ' BoomBox ' नामक एक डाउनलोडर, 'NativeZone ' नामक एक लोडर, और 'VaporRage' नामक एक शेलकोड। .'

नेटिवज़ोन विवरण

नेटिवज़ोन मैलवेयर एक लोडर है जिसे एक ही कार्य करने के लिए डिज़ाइन किया गया है - भंग सिस्टम पर वाष्पराज पेलोड की डिलीवरी। नेटिवज़ोन को पिछले चरण के मैलवेयर बूमबॉक्स द्वारा सिस्टम पर छोड़ दिया गया है। खतरा 'NativeCacheSvc.dll' नाम की फ़ाइल के रूप में छिपा है। जब भी कोई उपयोगकर्ता विंडोज़ में लॉग इन करता है तो नेटिवज़ोन को स्वचालित रूप से प्रारंभ करने के लिए कॉन्फ़िगर किया गया है। Rundll32.exe के माध्यम से शुरू होने पर, खतरा बूमबॉक्स द्वारा 'CertPKIProvider.dll' नाम की दूसरी फ़ाइल को लॉन्च करने के लिए आगे बढ़ेगा। यह VaporRage मैलवेयर के लिए पेलोड वहन करता है।