محققان امنیت سایبری یک کمپین جالب توزیع بدافزار از طریق ایمیل جدید را که به زبان برنامه نویسی Nim نوشته شده است، کشف کردهاند.
محققان Proofpoint این برنامه را “NimzaLoader” نامیدند.
محققان گفتند: توسعه دهندگان بدافزار ممکن است برای جلوگیری از ردیابی از یک زبان برنامه نویسی نادر استفاده کنند، زیرا ممکن است مهندسان معکوس با اجرای Nim آشنا نباشند، یا بر روی توسعه مکانیزمهای تشخیص برای آن متمرکز نباشند.
Proofpoint در حال ردیابی اپراتورهای این کمپین تحت عنوان “TA800” است که به گفته آنها توزیع NimzaLoader را از ۳ فوریه ۲۰۲۱ آغاز کردند.
APT28 قبلاً با انتشار بدافزار Zebrocy با استفاده از لودرهای مبتنی بر Nim شناخته شده است، NimzaLoader نشانه دیگری است که نشان میدهد مهاجمها دائماً بدافزارهای خود را برای جلوگیری از شناسایی بروز میکنند.
مانند BazaLoader، این کمپین نیز از ترفندهای فیشینگ ایمیل شخصی حاوی لینک به یک فایل PDF استفاده میکند که گیرنده را به یک NimzaLoader قابل اجرا در Slack هدایت میکند که از یک icon جعلی Adobe به عنوان بخشی از ترفندهای مهندسی اجتماعی استفاده میکند.
پس از باز شدن، در کنار قابلیت های اجرای دستورات دلخواه بازیابی شده از یک سرور command-and-control، بدافزار برای دسترسی مهاجمها به سیستمهای ویندوز قربانی طراحی شده است. از جمله اجرای دستورات PowerShell، تزریق شلکد به فرآیندهای در حال اجرا و حتی نصب بدافزار اضافی.
شواهد جمعآوری شده توسط Proofpoint و Walmart نشان میدهد که NimzaLoader همچنین برای بارگیری و اجرای Cobalt Strike به عنوان Payload ثانویه مورد استفاده قرار میگیرد که نشان میدهد مهاجمها تاکتیکهای مختلف را برای گرفتن نتیجه بهتر در مبارزات خود ادغام میکنند.
یک نظر