Campo Loader

Campo Loader（或NLoader）是一种恶意软件威胁，在针对日本实体的攻击活动中被利用。 Campo Loader充当早期威胁，旨在在已经受到威胁的计算机上提供真正的恶意软件有效载荷。据观察，Campo Loader会丢弃几种不同的有效载荷，具体取决于特定的威胁参与者及其特定目标。给予威胁的名称是基于一个包含" / campo /"的路径，该路径在与命令和控制（C2，C＆C）服务器进行通信时使用。

执行后，Campo Loader的首要任务是创建一个带有硬编码名称的目录。下一步是尝试并到达C2服务器。为此，威胁通过POST发送字符串" ping"，并等待传入的响应。 Openfield服务器返回一个URL作为响应，但是在Campo Loader继续进行威胁活动之前，它会检查来自C2服务器的消息是否以" h"开头。如果不是，则该恶意软件会终止该过程。

否则，将使用POST方法将第二个" ping"消息再次发送到所提供的URL。这导致第二个有效负载由Campo Loader提取并保存为受感染系统上的文件。文件名再次被硬编码到威胁中。然后，将滥用rundll32.exe在下载的DLL文件中调用名为" DF"的函数。

在较早版本的攻击活动中，Campo Loader以.exe文件的形式分发，可以下载并执行。它还直接执行了下一级的有效负载，例如Ursnif和Zloader 。但是，在交付的有效负载已转移到DFDownloader的同时，最近的变体倾向于使用DLL版本。