NativeZoneマルウェア

NativeZoneマルウェアは、悪名高いAPT29ハッカーグループに起因する新しいフィッシング攻撃の一部として展開されたローダーの脅威です。同じ脅威アクターが、SolarWindsを危険にさらしたサプライチェーン攻撃の背後にいました。 APT29はロシアと関係があると考えられており、SolarStorm、Nobelium、NC2542、DarhHaloなどの他のいくつかの名前で追跡されています。

その新しい操作で、 APT29はなんとか米国国際開発庁（USAID）の連絡先アカウントに違反しました。その後、ハッカーは正当なマーケティングアカウントを使用して、150を超えるさまざまなターゲットに3000を超えるフィッシングメールを送信しました。脅迫キャンペーンの影響を受けた組織の中には、国際開発や人道的および人権活動に関与する政府機関や団体が含まれていました。フィッシング攻撃に関してMicrosoftが発表したレポートによると、APT29は、これまでに見たことのない4つのマルウェア株（「EnvyScout」という名前のHTML添付ファイル、「BoomBox」という名前のダウンローダー、「NativeZone」という名前のローダー、「 VaporRage 」という名前のシェルコード）を展開しました。 。」

NativeZoneの詳細

NativeZoneマルウェアは、単一のタスク（VaporRageペイロードの侵害されたシステムへの配信）を実行するように設計されたローダーです。 NativeZoneは、前段階のマルウェアBoomBoxによってシステムにドロップされます。脅威は「NativeCacheSvc.dll」という名前のファイルとして隠されます。 NativeZoneは、ユーザーがWindowsにログインするたびに自動的に起動するように構成されています。 rundll32.exeを介して開始されると、脅威は「CertPKIProvider.dll」という名前のBoomBoxによってドロップされた他のファイルの起動に進みます。 VaporRageマルウェアのペイロードを運びます。