Campo Loader

Campo Loader（或NLoader）是一種惡意軟件威脅，在針對日本實體的攻擊活動中被利用。 Campo Loader充當早期威脅，旨在在已經受到威脅的計算機上提供真正的惡意軟件有效載荷。據觀察，Campo Loader會丟棄幾種不同的有效載荷，具體取決於特定的威脅參與者及其特定目標。給予威脅的名稱是基於一個包含" / campo /"的路徑，該路徑在與命令和控制（C2，C＆C）服務器進行通信時使用。

執行後，Campo Loader的首要任務是創建一個帶有硬編碼名稱的目錄。下一步是嘗試並到達C2服務器。為此，威脅通過POST發送字符串" ping"，並等待傳入的響應。 Openfield服務器返回一個URL作為響應，但是在Campo Loader繼續進行威脅活動之前，它會檢查來自C2服務器的消息是否以" h"開頭。如果不是，則該惡意軟件會終止該過程。

否則，將使用POST方法將第二個" ping"消息再次發送到所提供的URL。這導致第二個有效負載由Campo Loader提取並保存為受感染系統上的文件。文件名再次被硬編碼到威脅中。然後，將濫用rundll32.exe在下載的DLL文件中調用名為" DF"的函數。

在較早版本的攻擊活動中，Campo Loader以.exe文件的形式分發，可以下載並執行。它還直接執行了下一級的有效負載，例如Ursnif和Zloader 。但是，在交付的有效負載已轉移到DFDownloader的同時，最近的變體傾向於使用DLL版本。