Nim-basierter Malware-Loader verbreitet sich über Spear-Phishing-E-Mails

Cyber Security News

Spear-Phishing-E-Mails verbreiten den NimzaLoader-Malware-Loader, der angeblich zum Herunterladen von Cobalt Strike verwendet werden kann.

Die TA800-Bedrohungsgruppe verbreitet einen Malware-Loader, den Forscher NimzaLoader nennen, über fortlaufende, sehr gezielte Spear-Phishing-E-Mails.

Während frühere Twitter-Analysen diesen Loader als bloße Variante der bestehenden BazaLoader-Malware von TA800 identifiziert haben, gibt es nun Hinweise darauf, dass es sich bei NimzaLoader um einen eigenständigen Stamm handelt – mit eigenen, separaten String-Entschlüsselungsmethoden und Hashing-Algorithmus-Techniken.

Der Malware-Loader ist einzigartig, da er in der Programmiersprache Nim geschrieben ist. Die Verwendung von Nim ist für Malware in der Bedrohungslandschaft ungewöhnlich, außer in seltenen Fällen, wie z. B. einem Nim-basierten Downloader, der kürzlich von der Zebrocy-Bedrohungsgruppe verwendet wurde. Aus diesem Grund vermuten die Forscher, dass Malware-Entwickler Nim verwenden, um die Erkennung durch Verteidigungsteams zu vermeiden, die mit dieser Sprache nicht vertraut sind.

[Blocked Image: https://alltechnews.de/daten/2021/01/1611697071_98_DanaBot-Malware-gewinnt-wieder-an-Relevanz.jpg]

“Malware-Entwickler könnten sich dafür entscheiden, eine seltene Programmiersprache zu verwenden, um eine Erkennung zu vermeiden, da Reverse-Ingenieure möglicherweise nicht mit der Implementierung von Nim vertraut sind oder sich nicht darauf konzentrieren, eine Erkennung dafür zu entwickeln, und daher können Tools und Sandboxen Schwierigkeiten haben, Proben davon zu analysieren”, sagten Dennis Schwarz und Matthew Mesa, Forscher bei Proofpoint am Mittwoch in einem Bericht, der vor der Veröffentlichung mit Threatpost geteilt wurde.

NimzaLoader wird als “Initial-Access-Malware” verwendet und wurde zum ersten Mal im Februar entdeckt, als er vom TA800-Bedrohungsakteur verbreitet wurde, so die Forscher. TA800 ist ein angeschlossener Distributor von TrickBot und BazaLoader (auch bekannt als BazarBackdoor, BazarCall usw.).

Es ist unklar, was der primäre Zweck von NimzaLoader zu diesem Zeitpunkt ist – jedoch deuten einige Hinweise darauf hin, dass der Loader verwendet wird, um die Cobalt Strike Commodity-Malware als sekundäre Nutzlast herunterzuladen und auszuführen, so die Forscher.

BazaLoader Versus NimzaLoader

Eine erste Analyse von NimzaLoader durch verschiedene Forscher auf Twitter hat angedeutet, dass es sich um eine Variante von BazaLoader handeln könnte, einem anderen Loader, der von TA800 verwendet wird und dessen primäre Funktion das Herunterladen und Ausführen von zusätzlichen Modulen ist. Forscher von Proofpoint wiesen jedoch auf Beweise hin, die ihrer Meinung nach zeigen, dass es sich bei NimzaLoader nicht nur um eine Variante von BazaLoader handelt: “Basierend auf unseren Beobachtungen signifikanter Unterschiede verfolgen wir dies als eine eigene Malware-Familie”, so die Forscher.

Sie nannten mehrere wesentliche Unterschiede zwischen NimzaLoader und BazaLoader: So verwenden die beiden Samples beispielsweise unterschiedliche Code-Verschleierungstools, verschiedene Arten der String-Entschlüsselung und unterschiedliche XOR/Rotate-basierte Windows-API-Hashing-Algorithmen, so die Forscher. Zu den weiteren taktischen Unterschieden zwischen NimzaLoader und BazaLoader gehört die Tatsache, dass die Malware keinen Algorithmus zur Domain-Generierung verwendet und dass sie JSON für ihre Command-and-Control-Kommunikation (C2) einsetzt.

Die E-Mail-Spear-Phishing-Kampagne

[Blocked Image: https://alltechnews.de/daten/2021/03/Nim-basierter-Malware-Loader-verbreitet-sich-ueber-Spear-Phishing-E-Mails.png]

Ein Beispiel für eine Spear-Phishing-E-Mail. Zum Vergrößern anklicken. Kredit: Proofpoint.

Forscher beobachteten die NimzaLoader-Kampagne erstmals am 3. Februar in Form von E-Mails mit “personalisierten Details” für die Opfer – einschließlich deren Namen und Firmennamen.

Die Nachrichten geben vor, von einem Mitarbeiter zu stammen, der sagt, er sei “spät dran” und bittet den E-Mail-Empfänger, eine Präsentation zu überprüfen. Die Nachricht sendet einen URL-Link (der verkürzt ist), der vorgibt, ein Link zu einer PDF-Vorschau zu sein.

Wenn der E-Mail-Empfänger auf den Link klickt, wird er zu einer Landing Page weitergeleitet, die beim E-Mail-Marketingdienst GetResponse gehostet wird. Diese Seite verweist auf das “PDF” und fordert das Opfer auf, “in der Vorschau zu speichern”. Dieser Link wiederum führt das Opfer tatsächlich zur ausführbaren Datei NimzaLoader.

NimzaLoader Malware Executable

Bei näherer Betrachtung stellten die Forscher fest, dass NimzaLoader mit Nim entwickelt wurde (was durch verschiedene “nim”-bezogene Zeichenfolgen in der ausführbaren Datei belegt wird). Die Malware verwendet hauptsächlich verschlüsselte Zeichenfolgen, wobei ein XOR-basierter Algorithmus und ein einziger Schlüssel pro Zeichenfolge verwendet werden. Eine verschlüsselte Zeichenfolge enthält einen Zeitstempel und wird verwendet, um ein Verfallsdatum für die Malware festzulegen. In einem analysierten Beispiel war das Ablaufdatum beispielsweise auf den 10. Februar um 13:20:55.003 Uhr festgelegt – was bedeutet, dass die Malware nach diesem Datum und dieser Uhrzeit nicht mehr ausgeführt werden kann.

Die meisten der anderen Zeichenfolgen enthalten Befehlsnamen. Diese Befehle beinhalten die Fähigkeit, powershell.exe auszuführen und einen Shellcode als Thread in einen Prozess zu injizieren. Während die NimzaLoader-C2-Server zum Zeitpunkt der Untersuchung außer Betrieb waren, sagten die Forscher, dass eine öffentliche Malware-Sandbox zu zeigen schien, dass die Malware einen PowerShell-Befehl empfängt, der schließlich einen Cobalt Strike-Baken lieferte.

“Wir sind nicht in der Lage, dieses Ergebnis zu validieren oder zu bestätigen, aber es stimmt mit früheren TA800-Taktiken, -Techniken und -Verfahren (TTPs) überein”, so die Forscher.

TA800-Bedrohungsgruppe: Die Zukunft von NimzaLoader

Forscher brachten NimzaLoader mit TA800 in Verbindung, einer Bedrohungsgruppe, die es auf eine Vielzahl von Branchen in Nordamerika abgesehen hat und die Opfer mit Banking-Trojanern und Malware-Loadern infiziert.

Laut den Forschern von Proofpoint enthielten die früheren Kampagnen von TA800 oft bösartige E-Mails mit Namen, Titel und Arbeitgeber des Empfängers, zusammen mit Phishing-Seiten, die so gestaltet waren, dass sie wie das Zielunternehmen aussahen. Die Forscher stellten fest, dass die Malware zeigt, dass TA800 weiterhin verschiedene Taktiken in ihre Kampagnen integriert.

“Es ist unklar, ob Nimzaloader für TA800 – und die gesamte Bedrohungslandschaft – nur ein kleiner Lichtblick ist, oder ob Nimzaloader von anderen Bedrohungsakteuren auf die gleiche Weise übernommen wird, wie BazaLaoder eine breite Akzeptanz gefunden hat”, so die Forscher.

Schauen Sie sich unsere kommenden kostenlosen Live-Webinar-Veranstaltungen an – einzigartige, dynamische Diskussionen mit Cybersicherheitsexperten und der Threatpost-Community: 24. März: Wirtschaftliche Aspekte von 0-Day Disclosures: The Good, Bad and Ugly (Erfahren Sie mehr und registrieren Sie sich!) 21. April: Underground Markets: Eine Tour durch die Schattenwirtschaft (Erfahren Sie mehr und registrieren Sie sich!)

Einige Teile dieses Artikels stammen aus:
threatpost.com