Καταργήστε το κακόβουλο λογισμικό NativeZone

Το NativeZone Malware είναι μέρος της εργαλειοθήκης πειρατείας του Nobelium APT, ενός οργανισμού εγκλήματος στον κυβερνοχώρο που είναι περισσότερο γνωστός για την επίθεσή του εναντίον του πωλητή λογισμικού SolarWinds. Πρόσφατα, το όνομά τους έκανε νέα για άλλη μια φορά, αλλά αυτή τη φορά λόγω μιας νέας εκστρατείας που στοχεύει οργανισμούς που εμπλέκονται σε ανθρωπιστικούς και διεθνείς τομείς ανάπτυξης. Για να πραγματοποιήσουν την επίθεσή τους, έχουν εισαγάγει τέσσερις νέες οικογένειες κακόβουλου λογισμικού, μία από τις οποίες είναι το κακόβουλο λογισμικό NativeZone. Συνήθως απορρίπτεται μετά τα εμφυτεύματα BoomBox και EnvyScout.

Αλλά ποιος είναι ο σκοπός του NativeZone Malware; Πρόκειται για ένα βασικό Trojan Loader, το οποίο χρησιμοποιεί παραβίαση DLL για την εγκατάσταση κακόβουλου κώδικα μέσα σε νόμιμα αρχεία που προσπαθούν να φορτώσουν τα Windows. Ένα από τα αρχεία DLL που χρησιμοποιεί το NativeZone Malware είναι το CertPKIProvider.dll. Το κακόβουλο λογισμικό NativeZone δεν εκτελείται μόνο μία φορά - το εμφύτευμα BoomBox του δίνει επιμονή έτσι ώστε να εκτελείται κάθε φορά που ξεκινούν τα Windows.

Μέχρι στιγμής, το NativeZone Malware έχει χρησιμοποιηθεί αποκλειστικά για τη λήψη του τέταρτου εμφυτεύματος που χρησιμοποιούν οι χάκερ Nobelium - VaporRage. Επιτρέπει στους εισβολείς να κατεβάσουν και να εκτελέσουν κελύφους σε παραβιασμένα συστήματα, κάτι που τους δίνει την πλήρη εξουσία επί του παραβιασμένου υπολογιστή. Σε ορισμένα από τα συμβιβασμένα συστήματα, το VaporRage εντοπίστηκε να ρίχνει το φάρο Cobalt Strike.