Forscher entdeckten Malware, die in der Programmiersprache Nim geschrieben wurde

Cyber Security News

Cybersecurity-Forscher haben eine “interessante E-Mail-Kampagne” eines Bedrohungsakteurs aufgedeckt, der eine neue, in der Programmiersprache Nim geschriebene Malware verbreitet.

Die von den Proofpoint-Forschern als “NimzaLoader” bezeichnete Entwicklung stellt einen der seltenen Fälle von Nim-Malware dar, die in der Bedrohungslandschaft entdeckt wurden.

“Malware-Entwickler könnten sich für die Verwendung einer seltenen Programmiersprache entscheiden, um eine Erkennung zu vermeiden, da Reverse-Ingenieure möglicherweise nicht mit der Nim-Implementierung vertraut sind oder sich nicht darauf konzentrieren, eine Erkennung dafür zu entwickeln, und daher können Tools und Sandboxen Schwierigkeiten haben, Proben davon zu analysieren”, so die Forscher.

Proofpoint verfolgt die Betreiber der Kampagne unter dem Namen “TA800”, die angeblich ab dem 3. Februar 2021 mit der Verteilung von NimzaLoader begonnen haben. Vor den jüngsten Aktivitäten ist bekannt, dass TA800 seit April 2020 hauptsächlich BazaLoader verwendet hat.

[Blocked Image: https://thehackernews.com/images/-FvwZhDCxviU/YEs44JXHKhI/AAAAAAAACBg/1sIQyU_yMxYA-USIHz7Wf8NYgbi3GREgwCLcBGAsYHQ/s728-e1000/malware.jpg]

Während APT28 bereits früher mit der Verbreitung von Zebrocy-Malware über Nim-basierte Loader in Verbindung gebracht wurde, ist das Auftauchen von NimzaLoader ein weiteres Zeichen dafür, dass böswillige Akteure ihr Malware-Arsenal ständig umrüsten, um eine Entdeckung zu vermeiden.

Die Erkenntnisse von Proofpoint wurden auch unabhängig von Forschern des Walmart-Threat-Intelligence-Teams bestätigt, die die Malware “Nimar Loader” nannten.

Wie im Fall von BazaLoader nutzte die am 3. Februar entdeckte Kampagne personalisierte E-Mail-Phishing-Köder, die einen Link zu einem vermeintlichen PDF-Dokument enthielten, das den Empfänger zu einer auf Slack gehosteten ausführbaren Datei von NimzaLoader weiterleitete, die als Teil ihrer Social-Engineering-Tricks ein gefälschtes Adobe-Symbol verwendete.

Einmal geöffnet, soll die Malware den Angreifern Zugriff auf die Windows-Systeme des Opfers verschaffen, neben der Möglichkeit, beliebige Befehle auszuführen, die von einem Command-and-Control-Server abgerufen werden – einschließlich der Ausführung von PowerShell-Befehlen, der Injektion von Shellcode in laufende Prozesse und sogar der Bereitstellung zusätzlicher Malware.

Weitere von Proofpoint und Walmart gesammelte Beweise zeigen, dass NimzaLoader auch zum Herunterladen und Ausführen von Cobalt Strike als sekundäre Nutzlast verwendet wird, was darauf hindeutet, dass Bedrohungsakteure verschiedene Taktiken in ihre Kampagnen integrieren.

“Es ist […] Es ist unklar, ob Nimzaloader für TA800 – und die gesamte Bedrohungslandschaft – nur ein kleiner Lichtblick auf dem Radar ist oder ob Nimzaloader von anderen Bedrohungsakteuren in der gleichen Weise übernommen wird, wie BazaLaoder eine breite Akzeptanz gefunden hat”, so das Fazit der Forscher.

Haben Sie diesen Artikel interessant gefunden? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com