Grup ancaman TA800 mendistribusikan pemuat malware, yang oleh para peneliti disebut NimzaLoader, melalui email spear-phishing bertarget tinggi yang sedang berlangsung.
Sementara analisis Twitter sebelumnya mengidentifikasi pemuat ini sebagai varian belaka dari malware BazaLoader TA800 yang ada, penelitian baru mengutip bukti bahwa NimzaLoader adalah jenis yang berbeda - dengan metode dekripsi string terpisah dan teknik algoritme hashing.
Pemuat malware itu unik karena ditulis dalam bahasa pemrograman Nim. Penggunaan Nim tidak umum untuk malware di lanskap ancaman, kecuali dalam kasus yang jarang terjadi, seperti pengunduh berbasis Nim yang baru- baru ini terlihat digunakan oleh grup ancaman Zebrocy. Karena itu, para peneliti mengatakan pengembang malware mungkin menggunakan Nim untuk menghindari deteksi oleh tim pertahanan yang mungkin tidak terbiasa dengan bahasa tersebut.
“Pengembang malware dapat memilih untuk menggunakan bahasa pemrograman yang langka untuk menghindari deteksi, karena insinyur balik mungkin tidak terbiasa dengan implementasi Nim, atau berfokus pada pengembangan deteksi untuknya, dan oleh karena itu alat dan kotak pasir mungkin kesulitan untuk menganalisis sampelnya,” kata Dennis Schwarz dan Matthew Mesa, peneliti dengan Proofpoint pada hari Rabu, dalam sebuah laporan yang dibagikan dengan Threatpost sebelum dipublikasikan.
NimzaLoader digunakan sebagai "malware akses awal" dan pertama kali ditemukan didistribusikan oleh aktor ancaman TA800 pada bulan Februari, kata para peneliti. TA800 adalah distributor afiliasi TrickBot dan BazaLoader (juga dikenal sebagai BazarBackdoor, BazarCall, dll.). Kampanye tersebut terlihat menargetkan sekitar 100 organisasi di sekitar 50 vertikal, peneliti Proofpoint mengatakan kepada Threatpost.
Tidak jelas apa tujuan utama NimzaLoader saat ini - namun, beberapa bukti menunjukkan bahwa loader digunakan untuk mengunduh dan mengeksekusi malware komoditas Cobalt Strike sebagai muatan sekundernya, kata para peneliti.
BazaLoader versus NimzaLoader
Beberapa analisis awal NimzaLoader oleh berbagai peneliti di Twitter menunjukkan bahwa ini mungkin varian dari BazaLoader, loader lain yang digunakan oleh TA800 yang memiliki fungsi utama mengunduh dan menjalankan modul tambahan. Namun, para peneliti dengan Proofpoint menunjukkan bukti yang mereka katakan menunjukkan NimzaLoader bukan hanya varian BazaLoader: "Berdasarkan pengamatan kami tentang perbedaan yang signifikan, kami melacak ini sebagai keluarga malware yang berbeda," kata mereka.
Mereka mengutip beberapa perbedaan utama antara NimzaLoader dan BazaLoader: Misalnya, dua sampel menggunakan obfuscator perataan kode yang berbeda, gaya dekripsi string yang berbeda, dan algoritma hashing Windows API berbasis XOR / rotate yang berbeda, kata mereka. Taktik lain yang membedakan NimzaLoader termasuk fakta bahwa malware tidak menggunakan algoritma pembuatan domain dan menggunakan JSON dalam komunikasi command-and-control (C2).
Kampanye Email Spear-Phishing
Peneliti pertama kali mengamati kampanye NimzaLoader pada 3 Februari, dalam bentuk email dengan "detail yang dipersonalisasi" untuk korban - termasuk nama dan nama perusahaan mereka.
Pesan tersebut dimaksudkan untuk datang dari rekan kerja, mengatakan dia "terlambat" mengemudi ke kantor dan meminta penerima email untuk memeriksa presentasi. Pesan tersebut mengirimkan tautan URL (yang disingkat) yang dimaksudkan sebagai tautan ke pratinjau PDF.
Jika penerima email mengklik link tersebut, mereka akan diarahkan ke halaman arahan yang dihosting di layanan pemasaran email GetResponse. Halaman itu tertaut ke "PDF" dan memberi tahu korban untuk "menyimpan ke pratinjau". Tautan ini pada gilirannya benar-benar membawa korban ke NimzaLoader yang dapat dieksekusi.
NimzaLoader Malware Executable
Setelah pemeriksaan lebih dekat, peneliti menemukan bahwa NimzaLoader dikembangkan menggunakan Nim (sebagaimana dibuktikan dengan berbagai string terkait "nim" dalam eksekusi). Malware ini sebagian besar menggunakan string yang dienkripsi, menggunakan algoritme berbasis XOR dan satu kunci per string. Satu string terenkripsi berisi stempel waktu dan digunakan untuk menyetel tanggal kedaluwarsa malware. Misalnya, dalam satu sampel yang dianalisis, tanggal kedaluwarsa ditetapkan ke 10 Februari pukul 1: 20: 55.003 - yang berarti malware tidak akan berjalan setelah tanggal dan waktu tersebut.
Sebagian besar string lain berisi nama perintah. Perintah ini mencakup kemampuan untuk mengeksekusi PowerShell.exe dan menyuntikkan kode shell ke dalam proses sebagai utas. Sementara server NimzaLoader C2 mati pada saat penelitian, para peneliti mengatakan kotak pasir malware publik tampaknya menunjukkan malware menerima perintah PowerShell yang pada akhirnya mengirimkan suar Serangan Cobalt.
“Kami tidak dapat memvalidasi atau mengkonfirmasi temuan ini, tetapi itu sejalan dengan taktik, teknik dan prosedur (TTP) TA800 sebelumnya,” kata mereka.
Grup Ancaman TA800: Masa Depan NimzaLoader
Para peneliti menghubungkan NimzaLoader kembali ke TA800, sebuah kelompok ancaman yang menargetkan berbagai industri di Amerika Utara, menginfeksi korban dengan trojan perbankan dan pemuat malware.
Menurut peneliti Proofpoint, kampanye TA800 sebelumnya sering kali menyertakan email berbahaya dengan nama penerima, jabatan, dan perusahaan, bersama dengan halaman phishing yang dirancang agar terlihat seperti perusahaan yang ditargetkan. Para peneliti mencatat bahwa malware tersebut menunjukkan TA800 terus mengintegrasikan berbagai taktik ke dalam kampanye mereka.
“Tidak… tidak jelas apakah Nimzaloader hanyalah blip pada radar TA800 — dan lanskap ancaman yang lebih luas — atau apakah Nimzaloader akan diadopsi oleh pelaku ancaman lain dengan cara yang sama seperti BazaLaoder telah memperoleh adopsi yang luas,” kata para peneliti.
Sumber : https://threatpost.com/nim-based-malware-loader-spreads-via-spear-phishing-emails/164643/