NativeZone skadlig kod

NativeZone Malware är ett lastarhot som används som en del av en ny phishing-attack tillskriven den ökända APT29-hackargruppen. Samma hotaktör stod bakom försörjningskedjeattacken som komprometterade SolarWinds. APT29 tros ha band till Ryssland och spåras under flera andra namn inklusive SolarStorm, Nobelium, NC2542, DarhHalo och mer.

I sin nya verksamhet lyckades APT29 bryta kontaktkontot för United States Agency for International Development (USAID). Hackarna fortsatte sedan att använda det legitima marknadsföringskontot för att skicka över 3000 phishing-e-postmeddelanden till mer än 150 olika mål. Bland den organisation som drabbades av den hotande kampanjen var myndigheter och enheter som var involverade i internationell utveckling samt humanitärt arbete och mänskliga rättigheter. En rapport som släpptes av Microsoft angående phishing-attacken avslöjade att APT29 distribuerade fyra aldrig tidigare sett malware-stammar - en HTML-bilaga som heter 'EnvyScout', en nedladdare som heter 'BoomBox', en lastare som heter 'NativeZone' och en skalkod med namnet 'VaporRage.'

NativeZone-detaljer

NativeZone-skadlig programvara är en lastare som är utformad för att utföra en enda uppgift - leverans av VaporRage-nyttolasten till det trasiga systemet. NativeZone tappas på systemet av den tidigare skadliga programvaran BoomBox. Hotet gömmer sig som en fil med namnet 'NativeCacheSvc.dll.' NativeZone är konfigurerat att starta automatiskt när en användare loggar in på Windows. När den startas via rundll32.exe fortsätter hotet med att starta den andra filen som tappas av BoomBox med namnet 'CertPKIProvider.dll.' Den bär nyttolasten för VaporRage-skadlig programvara.