DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
Phát hiện phần mềm độc hại được viết bằng ngôn ngữ lập trình Nim
Các nhà nghiên cứu đã phát hiện một chiến dịch email nhằm phát tán phần mềm độc hại mới được viết bằng ngôn ngữ lập trình Nim.
Được đặt tên NimzaLoader, đây là một phần mềm độc hại hiếm hoi được viết bằng Nim trong thực tế.
Các nhà nghiên cứu của công ty Proofpoint cho biết: "Người tạo ra phần mềm độc hại chọn sử dụng một ngôn ngữ lập trình ít phổ biến để tránh bị phát hiện, vì các kỹ sư dịch ngược có thể không quen với hoạt động của Nim hoặc ít tập trung vào việc phát triển tính năng phát hiện phần mềm độc hại, do đó các công cụ và sandbox có thể gặp khó khăn trong việc phân tích các mẫu phần mềm độc hại viết bằng ngôn ngữ này".
Thông qua việc đang theo dõi chiến dịch có biệt danh "TA800", công ty Proofpoint cho biết kẻ tấn công bắt đầu phân phối NimzaLoader bắt đầu từ ngày 3/2/2021. Trước khi bị phát hiện, TA800 đã được biết đến thông qua việc sử dụng BazaLoader kể từ tháng 4/2020.
Mặc dù nhóm APT28 đã phát tán phần mềm độc hại Zebrocy thông qua trình tải dựa trên Nim, sự xuất hiện của NimzaLoader là một dấu hiệu khác cho thấy kẻ tấn công đang liên tục trang bị lại kho phần mềm độc hại để tránh bị phát hiện.
Các phát hiện của Proofpoint cũng đã được chứng thực độc lập bởi các nhà nghiên cứu của Walmart.
Giống BazaLoader, chiến dịch trên sử dụng các chiêu trò lừa đảo qua email có chứa liên kết đến tài liệu PDF để chuyển hướng người nhận đến tệp thực thi NimzaLoader lưu trữ trên Slack, sử dụng biểu tượng Adobe giả mạo để đánh lừa người dùng.
Sau khi nạn nhân mở tệp, kẻ tấn công quyền truy cập vào hệ thống Windows của nạn nhân, thực thi các lệnh tùy ý được truy xuất từ máy chủ C&C, bao gồm thực hiện các lệnh PowerShell, đưa shellcode vào các quy trình đang chạy và thậm chí triển khai thêm phần mềm độc hại khác.
Bằng chứng từ các nghiên cứu của Proofpoint và Walmart cho thấy NimzaLoader cũng đang được khai thác để tải xuống và thực thi Cobalt Strike làm mã độc thứ hai, cho thấy rằng kẻ tấn công đang kết hợp nhiều chiến thuật trong cùng một chiến dịch.
Được đặt tên NimzaLoader, đây là một phần mềm độc hại hiếm hoi được viết bằng Nim trong thực tế.
Các nhà nghiên cứu của công ty Proofpoint cho biết: "Người tạo ra phần mềm độc hại chọn sử dụng một ngôn ngữ lập trình ít phổ biến để tránh bị phát hiện, vì các kỹ sư dịch ngược có thể không quen với hoạt động của Nim hoặc ít tập trung vào việc phát triển tính năng phát hiện phần mềm độc hại, do đó các công cụ và sandbox có thể gặp khó khăn trong việc phân tích các mẫu phần mềm độc hại viết bằng ngôn ngữ này".
Thông qua việc đang theo dõi chiến dịch có biệt danh "TA800", công ty Proofpoint cho biết kẻ tấn công bắt đầu phân phối NimzaLoader bắt đầu từ ngày 3/2/2021. Trước khi bị phát hiện, TA800 đã được biết đến thông qua việc sử dụng BazaLoader kể từ tháng 4/2020.
Mặc dù nhóm APT28 đã phát tán phần mềm độc hại Zebrocy thông qua trình tải dựa trên Nim, sự xuất hiện của NimzaLoader là một dấu hiệu khác cho thấy kẻ tấn công đang liên tục trang bị lại kho phần mềm độc hại để tránh bị phát hiện.
Các phát hiện của Proofpoint cũng đã được chứng thực độc lập bởi các nhà nghiên cứu của Walmart.
Giống BazaLoader, chiến dịch trên sử dụng các chiêu trò lừa đảo qua email có chứa liên kết đến tài liệu PDF để chuyển hướng người nhận đến tệp thực thi NimzaLoader lưu trữ trên Slack, sử dụng biểu tượng Adobe giả mạo để đánh lừa người dùng.
Sau khi nạn nhân mở tệp, kẻ tấn công quyền truy cập vào hệ thống Windows của nạn nhân, thực thi các lệnh tùy ý được truy xuất từ máy chủ C&C, bao gồm thực hiện các lệnh PowerShell, đưa shellcode vào các quy trình đang chạy và thậm chí triển khai thêm phần mềm độc hại khác.
Bằng chứng từ các nghiên cứu của Proofpoint và Walmart cho thấy NimzaLoader cũng đang được khai thác để tải xuống và thực thi Cobalt Strike làm mã độc thứ hai, cho thấy rằng kẻ tấn công đang kết hợp nhiều chiến thuật trong cùng một chiến dịch.
Theo: thehackernews