Rimuovi NativeZone Malware

NativeZone Malware fa parte del toolkit di hacking di Nobelium APT, un'organizzazione per il crimine informatico nota per i suoi attacchi contro il fornitore di software SolarWinds. Recentemente, il loro nome ha fatto notizia ancora una volta, ma questa volta a causa di una nuova campagna rivolta alle organizzazioni coinvolte nei settori dello sviluppo umanitario e internazionale. Per eseguire il loro attacco, hanno introdotto quattro nuove famiglie di malware, una delle quali è NativeZone Malware. Di solito viene lasciato cadere dopo gli impianti BoomBox ed EnvyScout.

Ma qual è lo scopo di NativeZone Malware? È un Trojan Loader di base, che utilizza il dirottamento della DLL per piantare codice dannoso all'interno di file legittimi che Windows tenta di caricare. Uno dei file DLL utilizzati da NativeZone Malware è CertPKIProvider.dll. Il malware NativeZone non viene eseguito una sola volta: l'impianto BoomBox gli garantisce la persistenza in modo che venga eseguito ogni volta che si avvia Windows.

Finora, NativeZone Malware è stato utilizzato esclusivamente per scaricare il quarto impianto utilizzato dagli hacker Nobelium: VaporRage. Consente agli aggressori di scaricare ed eseguire shellcode su sistemi compromessi, il che dà loro il controllo più o meno completo sul computer compromesso. Su alcuni dei sistemi compromessi, VaporRage è stato avvistato mentre lanciava il faro Cobalt Strike.