Fjern NativeZone Malware
NativeZone Malware er en del av hackingsverktøysettet til Nobelium APT, en nettkriminalitetsorganisasjon som er best kjent for sitt angrep mot SolarWinds-programvareleverandøren. Nylig kom navnet deres på nytt, men denne gangen på grunn av en ny kampanje rettet mot organisasjoner som er involvert i humanitære og internasjonale utviklingssektorer. For å gjennomføre angrepet har de introdusert fire nye familier med skadelig programvare, den ene er NativeZone Malware. Det blir vanligvis droppet etter BoomBox- og EnvyScout-implantatene.
Men hva er hensikten med NativeZone Malware? Det er en grunnleggende Trojan Loader, som bruker DLL-kapring for å plante skadelig kode i legitime filer som Windows prøver å laste inn. En av DLL-filene som NativeZone Malware bruker er CertPKIProvider.dll. NativeZone Malware kjøres ikke bare én gang - BoomBox-implantatet gir utholdenhet slik at den kjører hver gang Windows starter.
Så langt har NativeZone Malware eksklusivt blitt brukt til å laste ned det fjerde implantatet som Nobelium-hackerne bruker - VaporRage. Det gjør det mulig for angripere å laste ned og kjøre shellcode på kompromitterte systemer, noe som gir dem stort sett full regjeringstid over den kompromitterte datamaskinen. På noen av de kompromitterte systemene ble VaporRage oppdaget å slippe Cobalt Strike-fyret.