Fjern NativeZone Malware
NativeZone Malware er en del af hackingsværktøjssættet fra Nobelium APT, en cyberkriminalitetsorganisation, der er bedst kendt for sit angreb mod SolarWinds-softwareleverandøren. For nylig kom deres navn igen til nyhederne, men denne gang på grund af en ny kampagne rettet mod organisationer, der er involveret i humanitære og internationale udviklingssektorer. For at udføre deres angreb har de introduceret fire nye malware-familier, hvoraf den ene er NativeZone Malware. Det droppes normalt efter BoomBox- og EnvyScout-implantaterne.
Men hvad er formålet med NativeZone Malware? Det er en grundlæggende Trojan Loader, der bruger DLL-kapring til at plante skadelig kode inde i legitime filer, som Windows forsøger at indlæse. En af de DLL-filer, som NativeZone Malware bruger, er CertPKIProvider.dll. NativeZone Malware køres ikke kun én gang - BoomBox-implantatet giver det vedholdenhed, så det kører, hver gang Windows starter.
Indtil videre er NativeZone Malware udelukkende brugt til at downloade det fjerde implantat, som Nobelium-hackerne bruger - VaporRage. Det gør det muligt for angribere at downloade og køre shellcode på kompromitterede systemer, hvilket giver dem stort set fuld regeringstid over den kompromitterede computer. På nogle af de kompromitterede systemer blev VaporRage opdaget ved at droppe Cobalt Strike-fyret.