Peneliti Melihat Malware yang Ditulis dalam Bahasa Pemrograman Nim
Peneliti keamanan siber (Cybersecurity researcher) telah membuka "interesting email campaign" yang dilakukan oleh pelaku ancaman yang telah menyebarkan malware baru yang ditulis dalam bahasa pemrograman Nim.
Dijuluki " NimzaLoader " oleh para peneliti Proofpoint, pengembangan tersebut menandai salah satu contoh malware Nim yang jarang ditemukan.
"Pengembang malware dapat memilih untuk menggunakan bahasa pemrograman yang langka untuk menghindari deteksi, mungkin tidak terbiasa dengan implementasi Nim, atau berfokus pada pengembangan deteksi, dan oleh karena itu sandbox mungkin kesulitan untuk menganalisis sampelnya," kata peneliti.
Proofpoint melacak operator campaign dengan julukan "TA800," yang, kata mereka, mulai mendistribusikan NimzaLoader mulai 3 Februari 2021. Sebelum rangkaian aktivitas terbaru, TA800 diketahui sebagian besar telah menggunakan BazaLoader sejak April 2020.
Meskipun APT28 sebelumnya telah dikaitkan dengan pengiriman malware Zebrocy menggunakan payload berbasis Nim , kemunculan NimzaLoader adalah tanda lain bahwa aktor jahat terus-menerus memperbaiki persenjataan malware mereka untuk menghindari deteksi.
Temuan Proofpoint juga telah dikuatkan secara independen oleh para peneliti dari tim intelijen ancaman Walmart, yang menamai malware itu "Nimar Loader."
Seperti halnya BazaLoader, campaign yang terlihat pada 3 Februari menggunakan email phishing yang dipersonalisasi berisi link ke documen PDF yang seharusnya mengarahkan penerima ke NimzaLoader yang dapat dieksekusi yang ada dihosting Slack, yang menggunakan icon Adobe palsu sebagai bagian dari itu. trik sosial engineering.
Setelah dibuka, malware dirancang untuk memberi penyerang akses ke sistem Windows korban, di samping kemampuan untuk mengeksekusi perintah yang diambil dari server command-and-control - termasuk menjalankan command PowerShell, menginject code shell ke dalam proses yang sedang running, dan bahkan menyebarkan tambahan malware.
Bukti tambahan yang dikumpulkan oleh Proofpoint dan Walmart menunjukkan bahwa NimzaLoader juga digunakan untuk mendownload dan mengeksekusi Cobalt Strike sebagai payloads, menunjukkan bahwa pelaku ancaman mengintegrasikan berbagai taktik ke dalam campaign mereka.
"Tidak jelas [...] apakah Nimzaloader hanyalah blip di radar untuk TA800 - dan lanscap ancaman yang lebih luas.