محققان امنیت سایبری یک کمپین جالب توزیع بدافزار از طریق ایمیل جدید را که به زبان برنامه نویسی Nim نوشته شده است، کشف کرده‌اند.
محققان Proofpoint این برنامه را “NimzaLoader” نامیدند.

برای دیدن سایز بزرگ روی عکس کلیک کنید
نام: nim-programming-malware.jpg
مشاهده: 13
حجم: 58.1 کیلو بایت

محققان گفتند: توسعه دهندگان بدافزار ممکن است برای جلوگیری از ردیابی از یک زبان برنامه نویسی نادر استفاده کنند، زیرا ممکن است مهندسان معکوس با اجرای Nim آشنا نباشند، یا بر روی توسعه مکانیزم‌های تشخیص برای آن متمرکز نباشند.

Proofpoint در حال ردیابی اپراتورهای این کمپین تحت عنوان “TA800” است که به گفته آنها توزیع NimzaLoader را از ۳ فوریه ۲۰۲۱ آغاز کردند.

برای دیدن سایز بزرگ روی عکس کلیک کنید
نام: malware.jpg
مشاهده: 8
حجم: 26.8 کیلو بایت

APT28 قبلاً با انتشار بدافزار Zebrocy با استفاده از لودرهای مبتنی بر Nim شناخته شده است، NimzaLoader نشانه دیگری است که نشان می‌دهد مهاجم‌ها دائماً بدافزارهای خود را برای جلوگیری از شناسایی بروز می‌کنند.

مانند BazaLoader، این کمپین نیز از ترفندهای فیشینگ ایمیل شخصی حاوی لینک به یک فایل PDF استفاده می‌کند که گیرنده را به یک NimzaLoader قابل اجرا در Slack هدایت می‌کند که از یک icon جعلی Adobe به عنوان بخشی از ترفندهای مهندسی اجتماعی استفاده می‌کند.

پس از باز شدن، در کنار قابلیت های اجرای دستورات دلخواه بازیابی شده از یک سرور command-and-control، بدافزار برای دسترسی مهاجم‌ها به سیستم‌های ویندوز قربانی طراحی شده است. از جمله اجرای دستورات PowerShell، تزریق شل‌کد به فرآیندهای در حال اجرا و حتی نصب بدافزار اضافی.

شواهد جمع‌آوری شده توسط Proofpoint و Walmart نشان می‌دهد که NimzaLoader همچنین برای بارگیری و اجرای Cobalt Strike به عنوان Payload ثانویه مورد استفاده قرار می‌گیرد که نشان می‌دهد مهاجم‌ها تاکتیک‌های مختلف را برای گرفتن نتیجه بهتر در مبارزات خود ادغام می‌کنند.


دوست داشتید؟ لطفا با دوستان خود به اشتراک بگذارید.

73

یک نظر

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *