NimzaLoader Malware
Im Rahmen einer laufenden Angriffskampagne wurde ein neuer Malware-Loader im Anfangsstadium namens NimzaLoader beobachtet. Es wird angenommen, dass die Bedrohungsoperation vom Bedrohungsakteur TA800 durchgeführt wird. Bisher wurden hundert Organisationen in mehreren Branchen angesprochen. Die Malware-Bedrohung wird über hochgradig angepasste Phishing-E-Mails verteilt, die sich an einzelne Mitarbeiter des ausgewählten Unternehmens richten.
Die Köder-E-Mails enthalten persönliche Daten zu den Opfern wie Namen und Firma und geben vor, von einem Kollegen geschrieben worden zu sein, der Hilfe bei der Überprüfung einer angeblichen PDF-Datei mit einer Arbeitspräsentation benötigt. Die E-Mail enthält dann einen Link, der zu einer Zielseite weiterleitet, die auf GetResponse, einer E-Mail-Marketingplattform, gehostet wird. Auf der Seite wird den Opfern ein weiterer Link zum Herunterladen der gefälschten PDF-Datei angezeigt, bei der es sich um die ausführbare Datei von NimzaLoader handelt.
Erste Untersuchungen haben ergeben, dass NimzaLoader eine Variante einer früheren Loader-Malware ist, die von der TA800-Gruppe verwendet wurde. Eine gründlichere Analyse ergab jedoch, dass dies nicht der Fall ist. NimzaLoader ist eine ausgeprägte Malware-Sorte, die im Vergleich zu BazaLoader mehrere wesentliche Unterschiede aufweist. Die beiden Bedrohungen verwenden unterschiedliche Verschleierungstechniken, unterschiedliche Methoden zur Entschlüsselung von Zeichenfolgen und separate Hashing-Algorithmen. Weitere Merkmale von NimzaLoader sind die Verwendung von JSON als Teil der Kommunikation mit den Command-and-Control-Servern (C2, C & C) und die Tatsache, dass es keinen Algorithmus zur Domänengenerierung gibt.
Nach der Bereitstellung auf dem Computer des Ziels kann NimzaLoader angewiesen werden, Powershell.exe auszuführen und Shellcode in Prozesse einzufügen. Infosec-Forscher waren nicht in der Lage, die an die infizierten Geräte gelieferten Nutzdaten zu bestimmen, aber bestimmte Hinweise deuten darauf hin, dass es sich um die leistungsstarke Cobalt Strike-Malware handelt. Die Malware hat auch ein Ablaufdatum in Form eines integrierten Zeitstempels, nach dem NimzaLoader nicht mehr ausgeführt wird.
NimzaLoader Malware verstärkt den Trend unter Cyberkriminellen, nach obskuren und weniger populären Programmiersprachen für ihre bedrohlichen Kreationen zu suchen. NimzaLoader ist in der Programmiersprache Nim geschrieben, die kürzlich vom Zebrocy-Bedrohungsakteur auch für die Entwicklung eines Loader-Tools verwendet wurde. Dies hat seine Vorteile für die Angreifer, da es die Erkennung der Bedrohungen erschwert und gleichzeitig die Schwierigkeit von Versuchen der Cybersicherheitsgemeinschaft erhöht, sie rückzuentwickeln.
