Удалить вредоносное ПО NativeZone
Вредоносное ПО NativeZone является частью набора инструментов для взлома Nobelium APT, киберпреступной организации, наиболее известной своими атаками на поставщика программного обеспечения SolarWinds. Недавно их имя снова появилось в новостях, но на этот раз из-за новой кампании, нацеленной на организации, работающие в гуманитарном и международном секторах развития. Для проведения атаки они представили четыре новых семейства вредоносных программ, одним из которых является NativeZone Malware. Обычно его сбрасывают после имплантатов BoomBox и EnvyScout.
Но какова цель NativeZone Malware? Это базовый троян-загрузчик, который использует перехват DLL для внедрения вредоносного кода в легитимные файлы, которые Windows пытается загрузить. Одним из DLL-файлов, которые использует NativeZone Malware, является CertPKIProvider.dll. Вредоносное ПО NativeZone не запускается только один раз - имплант BoomBox обеспечивает его постоянство, чтобы оно запускалось каждый раз при запуске Windows.
До сих пор вредоносное ПО NativeZone использовалось исключительно для загрузки четвертого имплантата, который используют хакеры Nobelium - VaporRage. Он позволяет злоумышленникам загружать и запускать шелл-код на скомпрометированных системах, что дает им в значительной степени полное управление скомпрометированным компьютером. На некоторых из взломанных систем был замечен VaporRage, сбрасывающий маяк Cobalt Strike.