Malware NativeZone

NativeZone Malware è una minaccia del caricatore distribuita come parte di un nuovo attacco di phishing attribuito al famigerato gruppo di hacker APT29. Lo stesso attore della minaccia era dietro l'attacco alla catena di approvvigionamento che ha compromesso SolarWinds. Si ritiene che APT29 abbia legami con la Russia ed è rintracciato con molti altri nomi tra cui SolarStorm, Nobelium, NC2542, DarhHalo e altri.

Nella sua nuova operazione, APT29 è riuscito a violare l'account di contatto dell'Agenzia degli Stati Uniti per lo sviluppo internazionale (USAID). Gli hacker hanno quindi proceduto a utilizzare l'account di marketing legittimo per inviare oltre 3000 e-mail di phishing a più di 150 obiettivi diversi. Tra le organizzazioni colpite dalla minacciosa campagna c'erano agenzie governative ed entità coinvolte nello sviluppo internazionale e nel lavoro umanitario e sui diritti umani. Un rapporto pubblicato da Microsoft sull'attacco di phishing ha rivelato che APT29 ha distribuito 4 ceppi di malware mai visti prima: un allegato HTML denominato "EnvyScout", un downloader denominato "BoomBox", un loader denominato "NativeZone" e uno shellcode denominato "VaporRage".

Dettagli di NativeZone

Il malware NativeZone è un caricatore progettato per eseguire una singola attività: la consegna del payload VaporRage sul sistema violato. NativeZone viene rilasciato nel sistema dal malware della fase precedente BoomBox. La minaccia si nasconde come un file denominato "NativeCacheSvc.dll". NativeZone è configurato per avviarsi automaticamente ogni volta che un utente accede a Windows. Dopo essere stata avviata tramite rundll32.exe, la minaccia procederà ad avviare l'altro file rilasciato da BoomBox denominato "CertPKIProvider.dll". Trasporta il carico utile per il malware VaporRage.