NativeZoneマルウェアを削除する

NativeZone Malwareは、SolarWindsソフトウェアベンダーに対する攻撃で最もよく知られているサイバー犯罪組織であるNobeliumAPTのハッキングツールキットの一部です。最近、彼らの名前が再びニュースになりましたが、今回は人道的および国際的な開発部門に関与する組織を対象とした新しいキャンペーンのためです。彼らは攻撃を実行するために、4つの新しいマルウェアファミリーを導入しました。そのうちの1つはNativeZoneマルウェアです。通常、BoomBoxとEnvyScoutが埋め込まれた後にドロップされます。

しかし、NativeZoneマルウェアの目的は何ですか？これは基本的なトロイの木馬ローダーであり、DLLハイジャックを使用して、Windowsがロードしようとする正当なファイル内に悪意のあるコードを仕掛けます。 NativeZoneマルウェアが使用するDLLファイルの1つは、CertPKIProvider.dllです。 NativeZoneマルウェアは一度だけ実行されるわけではありません。BoomBoxインプラントは永続性を付与するため、Windowsが起動するたびに実行されます。

これまでのところ、NativeZoneマルウェアは、ノーベリウムハッカーが使用する4番目のインプラントであるVaporRageをダウンロードするためにのみ使用されてきました。これにより、攻撃者は侵害されたシステムにシェルコードをダウンロードして実行できるようになり、侵害されたコンピューターをほぼ完全に支配できるようになります。侵害されたシステムの一部では、VaporRageがCobaltStrikeビーコンをドロップしているのが発見されました。