Threat Database Malware NativeZone Malware

NativeZone Malware

Die NativeZone-Malware ist eine Loader-Bedrohung, die im Rahmen eines neuen Phishing-Angriffs eingesetzt wird, der der berüchtigten Hackergruppe APT29 zugeschrieben wird. Der gleiche Bedrohungsakteur steckte hinter dem Supply-Chain-Angriff, der SolarWinds gefährdete. Es wird angenommen, dass APT29 Verbindungen zu Russland hat und unter mehreren anderen Namen verfolgt wird, darunter SolarStorm, Nobelium, NC2542, DarhHalo und mehr.

In seiner neuen Operation konnte APT29 das Kontaktkonto der US-amerikanischen Agentur für internationale Entwicklung (USAID) verletzen. Anschließend verwendeten die Hacker das legitime Marketingkonto, um über 3000 Phishing-E-Mails an mehr als 150 verschiedene Ziele zu senden. Unter den von der Bedrohungskampagne betroffenen Organisationen befanden sich Regierungsbehörden und Organisationen, die an der internationalen Entwicklung sowie an der humanitären und Menschenrechtsarbeit beteiligt waren. Ein von Microsoft veröffentlichter Bericht über den Phishing-Angriff ergab, dass APT29 4 nie zuvor gesehene Malware-Stämme bereitgestellt hat - einen HTML-Anhang mit dem Namen "EnvyScout", einen Downloader mit dem Namen "BoomBox", einen Loader mit dem Namen "NativeZone" und einen Shellcode mit dem Namen "VaporRage".

NativeZone-Details

Die NativeZone-Malware ist ein Loader, der für eine einzelne Aufgabe entwickelt wurde - die Übertragung der VaporRage-Nutzdaten auf das beschädigte System. NativeZone wird von der Malware BoomBox der vorherigen Phase auf dem System abgelegt. Die Bedrohung wird als Datei mit dem Namen "NativeCacheSvc.dll" ausgeblendet. NativeZone ist so konfiguriert, dass es automatisch gestartet wird, wenn sich ein Benutzer bei Windows anmeldet. Nach dem Start über rundll32.exe startet die Bedrohung die andere Datei, die von BoomBox mit dem Namen "CertPKIProvider.dll" bereitgestellt wurde. Es enthält die Nutzdaten für die VaporRage-Malware.

Im Trend

Am häufigsten gesehen

Wird geladen...