Pašalinkite kenkėjišką programą „NativeZone“

Kenkėjiška programa „NativeZone“ yra kibernetinių nusikaltimų organizacijos „Nobelium APT“ įsilaužimo įrankių dalis, geriausiai žinoma dėl savo atakos prieš „SolarWinds“ programinės įrangos tiekėją. Neseniai jų vardas vėl pasirodė naujiena, tačiau šį kartą dėl naujos kampanijos, skirtos humanitarinės ir tarptautinės plėtros sektoriuose dalyvaujančioms organizacijoms. Norėdami įvykdyti savo išpuolį, jie pristatė keturias naujas kenkėjiškų programų šeimas, iš kurių viena yra kenkėjiška programa „NativeZone“. Paprastai jis numetamas po „BoomBox“ ir „EnvyScout“ implantų.

Bet koks yra „NativeZone“ kenkėjiškų programų tikslas? Tai yra pagrindinis „Trojan“ krautuvas, kuris naudoja DLL užgrobimą, kad sukeltų kenksmingą kodą į teisėtus failus, kuriuos „Windows“ bando įkelti. Vienas iš „NativeZone“ kenkėjiškų programų naudojamų DLL failų yra „CertPKIProvider.dll“. „NativeZone“ kenkėjiška programa nėra paleista tik vieną kartą - „BoomBox“ implantas suteikia jai patvarumo, kad ji veiktų kiekvieną kartą, kai „Windows“ paleidžiama.

Iki šiol kenkėjiška programa „NativeZone“ buvo naudojama išskirtinai norint atsisiųsti ketvirtąjį implantą, kurį naudoja „Nobelium“ įsilaužėliai, - „VaporRage“. Tai suteikia užpuolikams galimybę atsisiųsti ir paleisti apvalkalą pažeistose sistemose, o tai suteikia jiems beveik pilną viešpatavimą pažeistame kompiuteryje. Kai kuriose pažeistose sistemose „VaporRage“ buvo pastebėtas numetant „Cobalt Strike“ švyturį.