NimzaLoader Malware
Een nieuwe malwarelader in de eerste fase genaamd NimzaLoader is geobserveerd als onderdeel van een lopende aanvalscampagne. Aangenomen wordt dat de dreigende operatie wordt uitgevoerd door de TA800-dreigingsacteur en tot dusver heeft het zich gericht op honderd organisaties verspreid over meerdere industriesectoren. De malwarebedreiging wordt verspreid via in hoge mate aangepaste phishing-e-mails gericht op individuele medewerkers van de gekozen entiteit.
De lokaas-e-mails bevatten persoonlijke details over de slachtoffers, zoals hun naam en bedrijf, en doen alsof ze zijn geschreven door een collega die wat hulp wil bij het beoordelen van een vermeend pdf-bestand met een werkpresentatie. De e-mail bevat vervolgens een link die doorverwijst naar een bestemmingspagina die wordt gehost op GetResponse, een e-mailmarketingplatform. Op de pagina kregen de slachtoffers een andere link te zien om de nep-pdf te downloaden die het uitvoerbare bestand van NimzaLoader is.
Uit eerste onderzoek bleek dat NimzaLoader een variant was van een eerdere loader-malware die door de TA800-groep werd gebruikt, maar een meer grondige analyse bracht aan het licht dat dit niet het geval is. NimzaLoader is een aparte malware-soort die verschillende grote verschillen vertoont in vergelijking met BazaLoader. De twee bedreigingen gebruiken verschillende versluieringstechnieken, verschillende methoden voor het decoderen van tekenreeksen en afzonderlijke hash-algoritmen. Andere kenmerken van NimzaLoader zijn onder meer het gebruik van JSON als onderdeel van de communicatie met de Command-and-Control-servers (C2, C&C) en dat het geen algoritme voor het genereren van domeinen heeft.
Eenmaal geïmplementeerd op de computer van het doel, kan NimzaLoader worden geïnstrueerd om powershell.exe uit te voeren en shellcode in processen te injecteren. Infosec-onderzoekers zijn niet in staat geweest om de payloads te bepalen die op de geïnfecteerde apparaten worden afgeleverd, maar er zijn aanwijzingen dat dit de krachtige Cobalt Strike-malware is. De malware wordt ook geleverd met een vervaldatum in de vorm van een ingebouwd tijdstempel, waarna NimzaLoader niet zal worden uitgevoerd.
NimzaLoader Malware versterkt de trend onder cybercriminelen om te zoeken naar obscure en minder populaire programmeertalen voor hun bedreigende creaties. NimzaLoader is geschreven in de programmeertaal Nim, die onlangs ook werd gebruikt voor de ontwikkeling van een loader-tool door de Zebrocy-dreigingsacteur. Dit heeft zo zijn voordelen voor de aanvallers, aangezien het de detectie van de bedreigingen moeilijker maakt, terwijl ook de moeilijkheid van pogingen van de cyberbeveiligingsgemeenschap om ze te reverse-engineeren, wordt vergroot.
