Výskumníci si všimli malvér napísaný v programovacom jazyku Nim

Výskumníci v oblasti kybernetickej bezpečnosti rozbalili „zaujímavú e-mailovú kampaň“, ktorú podnikol aktér hrozby, ktorý sa pustil do distribúcie nového malvéru napísaného v programovacom jazyku Nim.

Vývoj, ktorý výskumníci spoločnosti Proofpoint nazvali „NimzaLoader“, predstavuje jeden z mála prípadov malvéru Nim objaveného v prostredí hrozieb.

„Vývojári malvéru sa môžu rozhodnúť použiť vzácny programovací jazyk, aby sa vyhli detekcii, pretože reverzní inžinieri nemusia byť oboznámení s implementáciou Nim alebo sa zameriavajú na vývoj detekcie, a preto môžu mať nástroje a sandboxy problémy s analýzou jeho vzoriek,“ vedci povedal.

Proofpoint sleduje prevádzkovateľov kampane pod prezývkou „TA800“, ktorí, ako hovoria, začali distribuovať NimzaLoader od februára 3, 2021. Pred najnovšou aktivitou je známe, že TA800 od apríla 2020 prevažne používal BazaLoader.

Zatiaľ čo APT28 bol v minulosti spájaný s doručovaním malvéru Zebrocy pomocou zavádzačov založených na Nim, objavenie sa NimzaLoader je ďalším znakom toho, že záškodníci neustále menia svoj arzenál malvéru, aby sa vyhli odhaleniu.

Zistenia spoločnosti Proofpoint boli tiež nezávisle potvrdené výskumníkmi z tímu Walmart pre informácie o hrozbách, ktorí malvér nazvali „Nimar Loader“.

Rovnako ako v prípade BazaLoader, kampaň bola zaznamenaná vo februári 3 využíval prispôsobené e-mailové návnady na phishing, ktoré obsahovali odkaz na údajný dokument PDF, ktorý presmeroval príjemcu na spustiteľný súbor NimzaLoader umiestnený na Slacku. Spustiteľný súbor tiež použil falošnú ikonu Adobe ako súčasť svojich trikov sociálneho inžinierstva, aby oklamal používateľa, aby si stiahol malvér.

Po otvorení je malvér navrhnutý tak, aby útočníkom poskytol prístup k obsahu obete Windows systémoch spolu s možnosťami vykonávať ľubovoľné príkazy získané z príkazového a riadiaceho servera – vrátane vykonávania príkazov PowerShell, vkladania shell kódu do bežiacich procesov a dokonca nasadzovania ďalšieho škodlivého softvéru.

Ďalšie dôkazy zhromaždené spoločnosťami Proofpoint a Walmart ukazujú, že NimzaLoader sa používa aj na sťahovanie a spúšťanie Cobalt Strike ako sekundárneho užitočného zaťaženia, čo naznačuje, že aktér hrozby integruje do svojich kampaní rôzne taktiky.

“To je […] nie je jasné, či je Nimzaloader len náznakom radaru pre TA800 – a širšiu oblasť hrozieb – alebo či Nimzaloader prijmú aj iní aktéri hrozieb rovnakým spôsobom, akým si BazaLaoder získal široké uplatnenie,“ uzavreli vedci.