NimzaLoader Malware
En ny malware-loader på første trin ved navn NimzaLoader er blevet observeret som en del af en igangværende angrebskampagne. Den truende operation menes at blive udført af TA800-trusselsaktøren, og den har indtil videre rettet mod hundrede organisationer spredt over flere industrisektorer. Malwaretruslen distribueres via meget tilpassede phishing-e-mails rettet mod individuelle medarbejdere i den valgte enhed.
Agnets e-mails inkluderer personlige oplysninger om ofrene såsom deres navne og firma og foregiver at være skrevet af en kollega, der ønsker hjælp til at gennemgå en formodet PDF-fil, der indeholder en arbejdspræsentation. E-mailen giver derefter et link, der omdirigerer til en destinationsside, der hostes på GetResponse, en e-mail-marketingplatform. På siden blev ofrene præsenteret for et andet link til at downloade den falske PDF, der er den NimzaLoader eksekverbare.
Første forskning pegede på, at NimzaLoader var en variant af en tidligere loader-malware, der blev brugt af TA800-gruppen, men en mere grundig analyse afslørede, at dette ikke er tilfældet. NimzaLoader er en distinkt malware-stamme, der udviser flere store forskelle sammenlignet med BazaLoader. De to trusler bruger forskellige tiltrækningsteknikker, forskellige metoder til streng dekryptering og separate hashing algoritmer. Andre karakteristika ved NimzaLoader inkluderer brugen af JSON som en del af kommunikationen med Command-and-Control (C2, C&C) serverne, og at den ikke har en domæne-genereringsalgoritme.
Når den er implementeret på målets computer, kan NimzaLoader instrueres i at udføre powershell.exe og injicere shellcode i processer. Infosec-forskere har ikke været i stand til at bestemme nyttelasten, der leveres til de inficerede enheder, men visse beviser peger mod, at det er den kraftige Cobalt Strike-malware. Malwaren kommer også med en udløbsdato i form af en indbygget tidsstempel, hvorefter NimzaLoader ikke kører.
NimzaLoader Malware forstærker tendensen blandt cyberkriminelle til at lede efter obskure og mindre populære programmeringssprog for deres truende kreationer. NimzaLoader er skrevet på Nim-programmeringssproget, som også for nylig blev brugt til udvikling af et loader-værktøj af Zebrocy-trusselsaktøren. At gøre det har sine fordele for angriberne, da det gør detektering af truslerne sværere, samtidig med at det øger vanskeligheden ved ethvert forsøg fra cybersikkerhedssamfundet med at omlægge dem.
