Nim 的恶意软件加载程序通过鱼叉式网络钓鱼电子邮件进行传播

鱼叉式网络钓鱼电子邮件正在传播NimzaLoader恶意软件加载程序，有人说这些加载器可用于下载Cobalt Strike。

TA800威胁小组正在通过持续不断的，针对性强的鱼叉式网络钓鱼电子邮件分发一个恶意软件加载器，研究人员称其为NimzaLoader。

尽管先前的Twitter分析将这种加载程序仅视为TA800现有BazaLoader恶意软件的变体，但新的研究表明，NimzaLoader是一种完全不同的种类-具有其自己的单独的字符串解密方法和哈希算法技术。

恶意软件加载器的独特之处在于它是用Nim编程语言编写的。在极少数情况下，对于恶意软件而言，使用Nim并不常见，除非在极少数情况下， 例如Zebrocy威胁组织最近使用的基于Nim的下载器。因此，研究人员说，恶意软件开发者可能使用NIM来躲避可能不熟悉NIM语言的防御团队的检测。

“恶意软件开发人员可能会选择使用一种罕见的编程语言来避免检测，因为反向工程师可能不熟悉Nim的实现，或者专注于为其开发检测，因此工具和沙箱可能难以分析其样本，” Dennis说。 Proofpoint的研究人员Schwarz和Matthew Mesa，在发表前与Threatpost分享的一份报告中，于周三与Proofpoint合作。

研究人员说，NimzaLoader被用作“初始访问恶意软件”，并于2月份首次发现被TA800威胁参与者分发。TA800是TrickBot和BazaLoader（也称为BazarBackdoor，BazarCall等）的会员分销商。发现该活动的目标是大约50个垂直领域的大约100个组织。

目前尚不清楚NimzaLoader的主要目的是什么-但是，一些证据表明，该装载程序正被用来下载并执行Cobalt Strike商品恶意软件作为其次要有效载荷，研究人员说。

BazaLoader与NimzaLoader

一些NimzaLoader的初始分析通过在Twitter许多研究者已经指出它可以是BazaLoader，通过TA800使用的另一装载机具有下载和执行额外的模块的主要功能的变体。但是，具有Proofpoint的研究人员指出了证据，他们说这表明NimzaLoader不仅是BazaLoader变体：“基于对显着差异的观察，我们将其视为一个独特的恶意软件家族，”他们说。

他们引用了NimzaLoader和BazaLoader之间的几个主要区别：例如，两个示例使用了不同的代码拼合混淆器，不同的字符串解密样式以及不同的基于XOR /旋转的Windows API哈希算法。使NimzaLoader与众不同的其他策略包括以下事实：该恶意软件不使用域生成算法，并且在命令与控制（C2）通信中使用JSON。

电子邮件鱼叉式网络钓鱼活动

鱼叉式网络钓鱼电子邮件示例。

研究人员首先在2月3日观察了NimzaLoader活动，其形式是为受害者提供“个性化详细信息”，包括受害者的姓名和公司名称。

这些消息据称来自同事，说他是“迟到”开车进入办公室，并要求电子邮件接收者检查演示文稿。该消息会发送一个URL链接（已缩短），该URL链接似乎是指向PDF预览的链接。

如果电子邮件收件人单击链接，则会将其重定向到电子邮件营销服务GetResponse上托管的登录页面。该页面链接到“ PDF”，并告诉受害者“保存预览”。该链接实际上实际上将受害者带到了NimzaLoader可执行文件。

NimzaLoader可执行的恶意软件

经过仔细检查，研究人员发现NimzaLoader是使用Nim开发的（可执行文件中各种与“ nim”相关的字符串都证明了这一点）。该恶意软件主要使用加密的字符串，并使用基于XOR的算法，每个字符串使用一个密钥。一个加密的字符串包含一个时间戳，用于设置恶意软件的到期日期。例如，在一个分析的样本中，有效期限设置为2月10日下午1：20：55.003，这意味着该恶意软件将在该日期和时间之后不再运行。

其他大多数字符串都包含命令名称。这些命令包括执行powershell.exe并将Shellcode作为线程注入到进程中的能力。在研究期间，当NimzaLoader C2服务器停机时，研究人员表示，一个公共恶意软件沙箱似乎表明该恶意软件接收了PowerShell命令，该命令最终提供了Cobalt Strike信标。

他们说：“我们无法证实或证实这一发现，但它确实与过去的TA800战术，技术和程序（TTP）保持一致。”

TA800威胁小组：NimzaLoader的未来

研究人员将NimzaLoader与TA800联系起来，TA800是一个针对北美众多行业的威胁组织，利用银行木马和恶意软件加载程序感染受害者。

根据Proofpoint研究人员的说法，TA800以前的活动经常包括带有收件人姓名，职务和雇主的恶意电子邮件，以及旨在看起来像目标公司的网络钓鱼页面。研究人员指出，该恶意软件表明TA800继续将不同的策略整合到他们的战役中。

研究人员说：“目前还不清楚……Nimzaloader是否只是TA800的雷达信号-以及更广阔的威胁前景？还是像其他BazaLaoder获得广泛采用一样，Nimzaloader是否会被其他威胁行动者采用。”