Entfernen Sie NativeZone Malware
Die NativeZone-Malware ist Teil des Hacking-Toolkits des Nobelium APT, einer Organisation für Cyberkriminalität, die am besten für ihren Angriff auf den SolarWinds-Softwareanbieter bekannt ist. Vor kurzem machte ihr Name erneut die Nachricht, diesmal jedoch aufgrund einer neuen Kampagne, die sich an Organisationen richtet, die in humanitären und internationalen Entwicklungssektoren tätig sind. Um ihren Angriff auszuführen, haben sie vier neue Malware-Familien eingeführt, von denen eine die NativeZone-Malware ist. Es wird normalerweise nach den BoomBox- und EnvyScout-Implantaten fallen gelassen.
Aber was ist der Zweck von NativeZone Malware? Es handelt sich um einen einfachen Trojaner-Loader, der mithilfe von DLL-Hijacking schädlichen Code in legitime Dateien einfügt, die Windows zu laden versucht. Eine der von NativeZone Malware verwendeten DLL-Dateien ist CertPKIProvider.dll. Die NativeZone-Malware wird nicht nur einmal ausgeführt - das BoomBox-Implantat gewährt ihr Persistenz, sodass sie bei jedem Start von Windows ausgeführt wird.
Bisher wurde die NativeZone-Malware ausschließlich zum Herunterladen des vierten Implantats verwendet, das die Nobelium-Hacker verwenden - VaporRage. Es ermöglicht Angreifern, Shellcode auf kompromittierten Systemen herunterzuladen und auszuführen, wodurch sie nahezu die volle Kontrolle über den kompromittierten Computer haben. Auf einigen der kompromittierten Systeme wurde VaporRage beim Abwurf des Cobalt Strike-Leuchtfeuers entdeckt.