Campo Loader

Campo Loader (veya NLoader), Japon kuruluşlarına yönelik saldırı kampanyalarında kullanılan bir kötü amaçlı yazılım tehdididir. Campo Loader, halihazırda tehlikeye atılmış bilgisayarlara gerçek kötü amaçlı yazılım yüklerini sunmak için tasarlanmış erken aşama bir tehdit görevi görür. Campo Loader'ın, belirli tehdit aktörüne ve belirli hedeflerine bağlı olarak birkaç farklı yükü düşürdüğü gözlemlenmiştir. Tehdide verilen ad, Komut-Kontrol (C2, C&C) sunucusuyla iletişim sırasında kullanılan '/ campo /' içeren bir yola dayanıyordu.

Yürütüldükten sonra, Campo Loader'ın ilk görevi sabit kodlanmış bir ada sahip bir dizin oluşturmaktır. Bir sonraki adım, C2 sunucusuna ulaşmaya çalışmaktır. Bu amaçla, tehdit POST aracılığıyla bir 'ping' dizisi gönderir ve gelen yanıtları bekler. Openfield sunucusu yanıt olarak bir URL döndürür, ancak Campo Loader tehdit edici faaliyetlerine devam etmeden önce C2 sunucularından gelen mesajın 'h' ile başlayıp başlamadığını kontrol eder. Olmazsa, kötü amaçlı yazılım işlemi sonlandırır.

Aksi takdirde, POST yöntemi kullanılarak sağlanan URL'ye ikinci bir 'ping' mesajı tekrar iletilir. Bu, Campo Loader tarafından ikinci bir yükün getirilmesine ve tehlikeye atılan sistemde bir dosya olarak kaydedilmesine yol açar. Dosyanın adı bir kez daha tehdide gömülür. Daha sonra indirilen DLL dosyasında 'DF' adlı bir işlevi çağırmak için rundll32.exe kötüye kullanılacaktır.

Saldırı kampanyalarının önceki sürümlerinde, Campo Loader indirilip çalıştırılabilen bir .exe dosyası biçiminde dağıtılmıştı. Ayrıca, Ursnif ve Zloader gibi sonraki aşama yüklerini de doğrudan yürüttü. Bununla birlikte, daha yeni varyasyonlar, teslim edilen yük DFDownloader'a kayarken DLL sürümlerini kullanmayı tercih etme eğilimindedir.