Campo Loader

Campo Loader (lub NLoader) to zagrożenie złośliwym oprogramowaniem, które jest wykorzystywane w kampaniach ataków na podmioty japońskie. Campo Loader działa jako zagrożenie na wczesnym etapie, mające na celu dostarczanie prawdziwych ładunków szkodliwego oprogramowania na już zainfekowane komputery. Zaobserwowano, że Campo Loader upuszcza kilka różnych ładunków, w zależności od konkretnego aktora zagrożenia i jego konkretnych celów. Nazwa nadana zagrożeniu została oparta na ścieżce zawierającej „/ campo /" używanej podczas komunikacji z serwerem dowodzenia (C2, C&C).

Po wykonaniu, pierwszym zadaniem Campo Loader jest utworzenie katalogu z zakodowaną na stałe nazwą. Następnym krokiem jest próba dotarcia do serwera C2. W tym celu zagrożenie wysyła ciąg znaków „ping" przez POST i czeka na przychodzące odpowiedzi. Serwer Openfield zwraca adres URL jako odpowiedź, ale zanim Campo Loader przejdzie do swoich zagrażających działań, sprawdza, czy wiadomość z serwerów C2 zaczyna się od litery „h". Jeśli tak się nie stanie, złośliwe oprogramowanie przerywa proces.

W przeciwnym razie drugi komunikat „ping" jest przesyłany ponownie na podany adres URL przy użyciu metody POST. Prowadzi to do pobrania drugiego ładunku przez Campo Loader i zapisania go jako plik w zaatakowanym systemie. Nazwa pliku jest ponownie zakodowana w zagrożeniu. Następnie program rundll32.exe będzie nadużywany do wywoływania funkcji o nazwie „DF" w pobranym pliku DLL.

We wcześniejszych wersjach kampanii ataku Campo Loader był dystrybuowany w postaci pliku .exe, który można było pobrać i wykonać. Wykonał również bezpośrednio ładunki następnego etapu, takie jak Ursnif i Zloader. Jednak nowsze odmiany preferują używanie wersji DLL, podczas gdy dostarczony ładunek został przeniesiony do DFDownloader.