Campo Loader
कैंपो लोडर (या एनएलओडर) एक मैलवेयर खतरा है जिसका लाभ जापानी संस्थाओं के खिलाफ हमले के अभियानों में लगाया जा रहा है। कैंपो लोडर पहले से ही समझौता किए गए कंप्यूटरों पर वास्तविक मैलवेयर पेलोड वितरित करने के लिए डिज़ाइन किए गए प्रारंभिक चरण के खतरे के रूप में कार्य करता है। विशिष्ट खतरे वाले अभिनेता और उनके विशेष लक्ष्यों के आधार पर कैंपो लोडर को कई अलग-अलग पेलोड छोड़ने के लिए देखा गया है। खतरे को दिया गया नाम '/ campo/' वाले पथ पर आधारित था जिसका उपयोग कमांड-एंड-कंट्रोल (C2, C&C) सर्वर के साथ संचार के दौरान किया जाता है।
निष्पादित होने के बाद, कैम्पो लोडर का पहला कार्य एक हार्ड-कोडेड नाम के साथ एक निर्देशिका बनाना है। अगला कदम C2 सर्वर तक पहुंचने का प्रयास करना है। उस उद्देश्य के लिए, खतरा POST के माध्यम से एक स्ट्रिंग 'पिंग' भेजता है और आने वाली प्रतिक्रियाओं की प्रतीक्षा करता है। ओपनफील्ड सर्वर एक यूआरएल को प्रतिक्रिया के रूप में लौटाता है, लेकिन कैंपो लोडर अपनी खतरनाक गतिविधियों के साथ आगे बढ़ने से पहले, यह जांचता है कि क्या सी 2 सर्वर से संदेश 'एच' से शुरू होता है। यदि ऐसा नहीं होता है, तो मैलवेयर प्रक्रिया को समाप्त कर देता है।
अन्यथा, एक दूसरा 'पिंग' संदेश POST पद्धति का उपयोग करके प्रदान किए गए URL पर फिर से प्रेषित किया जाता है। इससे कैंपो लोडर द्वारा दूसरा पेलोड प्राप्त किया जा रहा है और समझौता किए गए सिस्टम पर फ़ाइल के रूप में सहेजा गया है। फ़ाइल का नाम एक बार फिर खतरे में हार्ड-कोड किया गया है। फिर डाउनलोड की गई DLL फ़ाइल में 'DF' नामक फ़ंक्शन को कॉल करने के लिए rundll32.exe का दुरुपयोग किया जाएगा।
हमले के अभियानों के पुराने संस्करणों में, कैम्पो लोडर को एक .exe फ़ाइल के रूप में वितरित किया गया था जिसे डाउनलोड और निष्पादित किया जा सकता था। इसने अगले चरण के पेलोड जैसे उर्सनिफ और ज़लोडर को सीधे निष्पादित किया। हालांकि, हाल के बदलाव डीएलएल संस्करणों का उपयोग करना पसंद करते हैं, जबकि वितरित पेलोड डीएफडाउनलोडर में स्थानांतरित हो गया है।
