Logiciel malveillant NativeZone

Le NativeZone Malware est une menace de chargeur déployée dans le cadre d'une nouvelle attaque de phishing attribuée au tristement célèbre groupe de hackers APT29. Le même acteur de la menace était à l'origine de l'attaque de la chaîne d'approvisionnement qui a compromis SolarWinds. On pense qu'APT29 a des liens avec la Russie et est suivi sous plusieurs autres noms, notamment SolarStorm, Nobelium, NC2542, DarhHalo et plus encore.

Dans sa nouvelle opération, APT29 a réussi à violer le compte Contact de l'Agence des États-Unis pour le développement international (USAID). Les pirates ont ensuite utilisé le compte marketing légitime pour envoyer plus de 3000 e-mails de phishing à plus de 150 cibles différentes. Parmi les organisations touchées par la campagne menaçante figuraient des agences gouvernementales et des entités impliquées dans le développement international ainsi que dans le travail humanitaire et en faveur des droits de l'homme. Un rapport publié par Microsoft concernant l'attaque de phishing a révélé qu'APT29 avait déployé 4 souches de malwares inédites - une pièce jointe HTML nommée "EnvyScout'', un téléchargeur nommé "BoomBox'', un chargeur appelé "NativeZone'' et un shellcode nommé "VaporRage''.

Détails de NativeZone

Le malware NativeZone est un chargeur conçu pour effectuer une seule tâche: la livraison de la charge utile VaporRage sur le système violé. NativeZone est déposé sur le système par le logiciel malveillant BoomBox de l'étape précédente. La menace se cache dans un fichier nommé «NativeCacheSvc.dll». NativeZone est configuré pour démarrer automatiquement chaque fois qu'un utilisateur se connecte à Windows. Après avoir été démarrée via rundll32.exe, la menace procédera au lancement de l'autre fichier déposé par BoomBox nommé «CertPKIProvider.dll». Il porte la charge utile du malware VaporRage.