NativeZone惡意軟件
NativeZone惡意軟件是一種加載程序威脅,被部署為歸功於臭名昭著的APT29黑客組織的新的網絡釣魚攻擊的一部分。威脅SolarWinds的供應鏈攻擊是由同一威脅因素造成的。 APT29被認為與俄羅斯有聯繫,並以其他幾個名稱進行追踪,包括SolarStorm,Nobelium,NC2542,DarhHalo等。
在其新業務中, APT29設法違反了美國國際開發署(USAID)的聯繫帳戶。然後,黑客繼續使用合法的營銷帳戶向3000多個釣魚目標發送3000多個網絡釣魚電子郵件。受威脅運動影響的組織包括參與國際發展以及人道主義和人權工作的政府機構和實體。關於釣魚攻擊微軟發布的一項報告顯示,APT29部署4前所未見的惡意軟件的菌株-一個HTML附件名為"EnvyScout,"一個名為"下載器內置揚聲器,"一個叫'裝載機NativeZone ',和一個名為'的shellcode VaporRage 。"
NativeZone詳細信息
NativeZone惡意軟件是一種旨在執行一項任務的加載程序,即將VaporRage有效負載傳送到被破壞的系統上。前一階段的惡意軟件BoomBox將NativeZone拖放到系統上。該威脅隱藏為名為" NativeCacheSvc.dll"的文件。將NativeZone配置為在用戶登錄Windows時自動啟動。通過rundll32.exe啟動後,威脅將繼續啟動BoomBox丟棄的名為" CertPKIProvider.dll"的其他文件。它帶有VaporRage惡意軟件的有效負載。
