NativeZone恶意软件
NativeZone恶意软件是一种加载程序威胁,被部署为归功于臭名昭著的APT29黑客组织的新的网络钓鱼攻击的一部分。威胁SolarWinds的供应链攻击是由同一威胁因素造成的。 APT29被认为与俄罗斯有联系,并以其他几个名称进行追踪,包括SolarStorm,Nobelium,NC2542,DarhHalo等。
在其新的操作中, APT29设法违反了美国国际开发署(USAID)的联系帐户。然后,黑客开始使用合法的营销帐户向3000多个钓鱼目标发送3000多个网络钓鱼电子邮件。受威胁运动影响的组织包括参与国际发展以及人道主义和人权工作的政府机构和实体。关于钓鱼攻击微软发布的一项报告显示,APT29部署4前所未见的恶意软件的菌株-一个HTML附件名为"EnvyScout,"一个名为"下载器内置扬声器,"一个叫"装载机NativeZone ",和一个名为'的shellcode VaporRage 。"
NativeZone详细信息
NativeZone恶意软件是一种装载程序,旨在执行一项任务-将VaporRage有效负载传送到受破坏的系统上。前一阶段的恶意软件BoomBox将NativeZone拖放到系统上。该威胁隐藏为名为" NativeCacheSvc.dll"的文件。将NativeZone配置为在用户登录Windows时自动启动。通过rundll32.exe启动后,威胁将继续启动BoomBox丢弃的名为" CertPKIProvider.dll"的其他文件。它带有VaporRage恶意软件的有效负载。
