Nim 的恶意软件加载程序通过鱼叉式网络钓鱼电子邮件进行传播

sugar 2021-03-11
专栏 - 资讯 发布于 2021-03-11 10:38:03 阅读 102 评论 0

鱼叉式网络钓鱼电子邮件正在传播NimzaLoader恶意软件加载程序,有人说这些加载器可用于下载Cobalt Strike。

TA800威胁小组正在通过持续不断的,针对性强的鱼叉式网络钓鱼电子邮件分发一个恶意软件加载器,研究人员称其为NimzaLoader。

尽管先前的Twitter分析将这种加载程序仅视为TA800现有BazaLoader恶意软件的变体,但新的研究表明,NimzaLoader是一种完全不同的种类-具有其自己的单独的字符串解密方法和哈希算法技术。

恶意软件加载器的独特之处在于它是用Nim编程语言编写的。在极少数情况下,对于恶意软件而言,使用Nim并不常见,除非在极少数情况下, 例如Zebrocy威胁组织最近使用的基于Nim的下载器。因此,研究人员说,恶意软件开发者可能使用NIM来躲避可能不熟悉NIM语言的防御团队的检测。

“恶意软件开发人员可能会选择使用一种罕见的编程语言来避免检测,因为反向工程师可能不熟悉Nim的实现,或者专注于为其开发检测,因此工具和沙箱可能难以分析其样本,” Dennis说。 Proofpoint的研究人员Schwarz和Matthew Mesa,在发表前与Threatpost分享的一份报告中,于周三与Proofpoint合作。

研究人员说,NimzaLoader被用作“初始访问恶意软件”,并于2月份首次发现被TA800威胁参与者分发。TA800是TrickBot和BazaLoader(也称为BazarBackdoor,BazarCall等)的会员分销商。发现该活动的目标是大约50个垂直领域的大约100个组织。

目前尚不清楚NimzaLoader的主要目的是什么-但是,一些证据表明,该装载程序正被用来下载并执行Cobalt Strike商品恶意软件作为其次要有效载荷,研究人员说。

BazaLoader与NimzaLoader

一些NimzaLoader的初始分析通过在Twitter许多研究者已经指出它可以是BazaLoader,通过TA800使用的另一装载机具有下载和执行额外的模块的主要功能的变体。但是,具有Proofpoint的研究人员指出了证据,他们说这表明NimzaLoader不仅是BazaLoader变体:“基于对显着差异的观察,我们将其视为一个独特的恶意软件家族,”他们说。

他们引用了NimzaLoader和BazaLoader之间的几个主要区别:例如,两个示例使用了不同的代码拼合混淆器,不同的字符串解密样式以及不同的基于XOR /旋转的Windows API哈希算法。使NimzaLoader与众不同的其他策略包括以下事实:该恶意软件不使用域生成算法,并且在命令与控制(C2)通信中使用JSON。

电子邮件鱼叉式网络钓鱼活动

尼姆装载机

鱼叉式网络钓鱼电子邮件示例。

研究人员首先在2月3日观察了NimzaLoader活动,其形式是为受害者提供“个性化详细信息”,包括受害者的姓名和公司名称。

这些消息据称来自同事,说他是“迟到”开车进入办公室,并要求电子邮件接收者检查演示文稿。该消息会发送一个URL链接(已缩短),该URL链接似乎是指向PDF预览的链接。

如果电子邮件收件人单击链接,则会将其重定向到电子邮件营销服务GetResponse上托管的登录页面。该页面链接到“ PDF”,并告诉受害者“保存预览”。该链接实际上实际上将受害者带到了NimzaLoader可执行文件。

NimzaLoader可执行的恶意软件

经过仔细检查,研究人员发现NimzaLoader是使用Nim开发的(可执行文件中各种与“ nim”相关的字符串都证明了这一点)。该恶意软件主要使用加密的字符串,并使用基于XOR的算法,每个字符串使用一个密钥。一个加密的字符串包含一个时间戳,用于设置恶意软件的到期日期。例如,在一个分析的样本中,有效期限设置为2月10日下午1:20:55.003,这意味着该恶意软件将在该日期和时间之后不再运行。

其他大多数字符串都包含命令名称。这些命令包括执行powershell.exe并将Shellcode作为线程注入到进程中的能力。在研究期间,当NimzaLoader C2服务器停机时,研究人员表示,一个公共恶意软件沙箱似乎表明该恶意软件接收了PowerShell命令,该命令最终提供了Cobalt Strike信标。

他们说:“我们无法证实或证实这一发现,但它确实与过去的TA800战术,技术和程序(TTP)保持一致。”

TA800威胁小组:NimzaLoader的未来

研究人员将NimzaLoader与TA800联系起来,TA800是一个针对北美众多行业的威胁组织,利用银行木马和恶意软件加载程序感染受害者。

根据Proofpoint研究人员的说法,TA800以前的活动经常包括带有收件人姓名,职务和雇主的恶意电子邮件,以及旨在看起来像目标公司的网络钓鱼页面。研究人员指出,该恶意软件表明TA800继续将不同的策略整合到他们的战役中。

研究人员说:“目前还不清楚……Nimzaloader是否只是TA800的雷达信号-以及更广阔的威胁前景?还是像其他BazaLaoder获得广泛采用一样,Nimzaloader是否会被其他威胁行动者采用。”

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!