NativeZone Kötü Amaçlı Yazılım

NativeZone Malware, kötü şöhretli APT29 hacker grubuna atfedilen yeni bir phishing saldırısının parçası olarak yerleştirilen bir yükleyici tehdididir. Aynı tehdit aktörü, SolarWinds'ı tehlikeye atan tedarik zinciri saldırısının arkasındaydı. APT29'un Rusya ile bağları olduğuna inanılıyor ve SolarStorm, Nobelium, NC2542, DarhHalo ve daha fazlası dahil olmak üzere birçok başka isim altında izleniyor.

APT29, yeni operasyonunda Amerika Birleşik Devletleri Uluslararası Kalkınma Ajansı'nın (USAID) İletişim hesabını ihlal etmeyi başardı. Bilgisayar korsanları daha sonra 150'den fazla farklı hedefe 3000'den fazla kimlik avı e-postası göndermek için yasal pazarlama hesabını kullanmaya başladı. Tehditkar kampanyadan etkilenen örgütler arasında, insani yardım ve insan hakları çalışmalarının yanı sıra uluslararası kalkınma ile ilgili devlet kurumları ve kuruluşları da vardı. Microsoft tarafından kimlik avı saldırısıyla ilgili olarak yayınlanan bir rapor, APT29'un daha önce hiç görülmemiş 4 kötü amaçlı yazılım türü dağıttığını ortaya çıkardı - 'EnvyScout' adlı bir HTML eki, 'BoomBox' adlı bir indirici, 'NativeZone' adlı bir yükleyici ve 'VaporRage.'

NativeZone Ayrıntıları

NativeZone kötü amaçlı yazılımı, tek bir görevi gerçekleştirmek için tasarlanmış bir yükleyicidir - VaporRage yükünün ihlal edilen sisteme teslim edilmesi. NativeZone, önceki aşamadaki kötü amaçlı yazılım BoomBox tarafından sisteme bırakılır. Tehdit, 'NativeCacheSvc.dll' adlı bir dosya olarak gizlenir. NativeZone, bir kullanıcı Windows'ta her oturum açtığında otomatik olarak başlayacak şekilde yapılandırılmıştır. Rundll32.exe aracılığıyla başlatıldıktan sonra, tehdit BoomBox tarafından bırakılan 'CertPKIProvider.dll' adlı diğer dosyayı başlatmaya devam edecektir. VaporRage kötü amaçlı yazılımının yükünü taşır.