NativeZone-malware

De NativeZone Malware is een loader-bedreiging die wordt ingezet als onderdeel van een nieuwe phishing-aanval die wordt toegeschreven aan de beruchte APT29-hackergroep. Dezelfde dreigingsacteur zat achter de supply chain-aanval die SolarWinds in gevaar bracht. APT29 wordt verondersteld banden te hebben met Rusland en wordt gevolgd onder verschillende andere namen, waaronder SolarStorm, Nobelium, NC2542, DarhHalo en meer.

In zijn nieuwe operatie slaagde APT29 erin om het Contact-account van het United States Agency for International Development (USAID) te doorbreken. De hackers gebruikten vervolgens het legitieme marketingaccount om meer dan 3000 phishing-e-mails naar meer dan 150 verschillende doelen te sturen. Onder de organisaties die door de dreigende campagne werden getroffen, waren overheidsinstanties en entiteiten die zich bezighouden met internationale ontwikkeling, humanitair en mensenrechtenwerk. Een rapport van Microsoft over de phishing-aanval onthulde dat APT29 4 nooit eerder vertoonde malwarestammen heeft geïmplementeerd: een HTML-bijlage met de naam 'EnvyScout', een downloader met de naam ' BoomBox ', een lader met de naam ' NativeZone ' en een shellcode met de naam ' VaporRage' . '

NativeZone-gegevens

De NativeZone-malware is een lader die is ontworpen om een enkele taak uit te voeren: het afleveren van de VaporRage-payload op het geschonden systeem. NativeZone wordt op het systeem gedropt door de malware BoomBox uit de vorige fase. De dreiging verbergt zich als een bestand met de naam 'NativeCacheSvc.dll'. NativeZone is geconfigureerd om automatisch te starten wanneer een gebruiker zich aanmeldt bij Windows. Na te zijn gestart via rundll32.exe, zal de dreiging doorgaan met het lanceren van het andere bestand dat door BoomBox is neergezet met de naam 'CertPKIProvider.dll'. Het draagt de lading voor de VaporRage-malware.