Nim 的惡意軟件加載程序通過魚叉式網絡釣魚電子郵件進行傳播

魚叉式網絡釣魚電子郵件正在傳播NimzaLoader惡意軟件加載程序，有人說這些加載器可用于下載Cobalt Strike。

TA800威脅小組正在通過持續不斷的，針對性強的魚叉式網絡釣魚電子郵件分發一個惡意軟件加載器，研究人員稱其為NimzaLoader。

盡管先前的Twitter分析將這種加載程序僅視為TA800現有BazaLoader惡意軟件的變體，但新的研究表明，NimzaLoader是一種完全不同的種類-具有其自己的單獨的字符串解密方法和哈希算法技術。

惡意軟件加載器的獨特之處在于它是用Nim編程語言編寫的。在極少數情況下，對于惡意軟件而言，使用Nim并不常見，除非在極少數情況下， 例如Zebrocy威脅組織最近使用的基于Nim的下載器。因此，研究人員說，惡意軟件開發者可能使用NIM來躲避可能不熟悉NIM語言的防御團隊的檢測。

“惡意軟件開發人員可能會選擇使用一種罕見的編程語言來避免檢測，因為反向工程師可能不熟悉Nim的實現，或者專注于為其開發檢測，因此工具和沙箱可能難以分析其樣本，” Dennis說。 Proofpoint的研究人員Schwarz和Matthew Mesa，在發表前與Threatpost分享的一份報告中，于周三與Proofpoint合作。

研究人員說，NimzaLoader被用作“初始訪問惡意軟件”，并于2月份首次發現被TA800威脅參與者分發。TA800是TrickBot和BazaLoader（也稱為BazarBackdoor，BazarCall等）的會員分銷商。發現該活動的目標是大約50個垂直領域的大約100個組織。

目前尚不清楚NimzaLoader的主要目的是什么-但是，一些證據表明，該裝載程序正被用來下載并執行Cobalt Strike商品惡意軟件作為其次要有效載荷，研究人員說。

BazaLoader與NimzaLoader

一些NimzaLoader的初始分析通過在Twitter許多研究者已經指出它可以是BazaLoader，通過TA800使用的另一裝載機具有下載和執行額外的模塊的主要功能的變體。但是，具有Proofpoint的研究人員指出了證據，他們說這表明NimzaLoader不僅是BazaLoader變體：“基于對顯著差異的觀察，我們將其視為一個獨特的惡意軟件家族，”他們說。

他們引用了NimzaLoader和BazaLoader之間的幾個主要區別：例如，兩個示例使用了不同的代碼拼合混淆器，不同的字符串解密樣式以及不同的基于XOR /旋轉的Windows API哈希算法。使NimzaLoader與眾不同的其他策略包括以下事實：該惡意軟件不使用域生成算法，并且在命令與控制（C2）通信中使用JSON。

電子郵件魚叉式網絡釣魚活動

魚叉式網絡釣魚電子郵件示例。

研究人員首先在2月3日觀察了NimzaLoader活動，其形式是為受害者提供“個性化詳細信息”，包括受害者的姓名和公司名稱。

這些消息據稱來自同事，說他是“遲到”開車進入辦公室，并要求電子郵件接收者檢查演示文稿。該消息會發送一個URL鏈接（已縮短），該URL鏈接似乎是指向PDF預覽的鏈接。

如果電子郵件收件人單擊鏈接，則會將其重定向到電子郵件營銷服務GetResponse上托管的登錄頁面。該頁面鏈接到“ PDF”，并告訴受害者“保存預覽”。該鏈接實際上實際上將受害者帶到了NimzaLoader可執行文件。

NimzaLoader可執行的惡意軟件

經過仔細檢查，研究人員發現NimzaLoader是使用Nim開發的（可執行文件中各種與“ nim”相關的字符串都證明了這一點）。該惡意軟件主要使用加密的字符串，并使用基于XOR的算法，每個字符串使用一個密鑰。一個加密的字符串包含一個時間戳，用于設置惡意軟件的到期日期。例如，在一個分析的樣本中，有效期限設置為2月10日下午1：20：55.003，這意味著該惡意軟件將在該日期和時間之后不再運行。

其他大多數字符串都包含命令名稱。這些命令包括執行powershell.exe并將Shellcode作為線程注入到進程中的能力。在研究期間，當NimzaLoader C2服務器停機時，研究人員表示，一個公共惡意軟件沙箱似乎表明該惡意軟件接收了PowerShell命令，該命令最終提供了Cobalt Strike信標。

他們說：“我們無法證實或證實這一發現，但它確實與過去的TA800戰術，技術和程序（TTP）保持一致。”

TA800威脅小組：NimzaLoader的未來

研究人員將NimzaLoader與TA800聯系起來，TA800是一個針對北美眾多行業的威脅組織，利用銀行木馬和惡意軟件加載程序感染受害者。

根據Proofpoint研究人員的說法，TA800以前的活動經常包括帶有收件人姓名，職務和雇主的惡意電子郵件，以及旨在看起來像目標公司的網絡釣魚頁面。研究人員指出，該惡意軟件表明TA800繼續將不同的策略整合到他們的戰役中。

研究人員說：“目前還不清楚……Nimzaloader是否只是TA800的雷達信號-以及更廣闊的威脅前景？還是像其他BazaLaoder獲得廣泛采用一樣，Nimzaloader是否會被其他威脅行動者采用。”