NimzaLoader: новый троян, написанный на языке Nim

26.03.2021
NimzaLoader: новый троян, написанный на языке Nim

С целью обхода антивирусной защиты разработчики вредоносного ПО идут на различные хитрости. APT-группировка TA800, известная распространением трояна BazaLoader (BazarBackdoor), взяла на вооружение применение  языка программирования Nim, редко используемого для написания вредоносов. Вероятно, выбор злоумышленников был рассчитан на то, что особенности этого языка будут малознакомы специалистам реверс-инжиниринга, затрудняя анализ и, как следствие, обнаружение вредоносной программы.

В стартовавшей в феврале 2021 года фишинговой атаке, приписываемой группировке TA800, было обнаружено распространение нового трояна, написанного на языке Nim. Об этом  сообщила компания ProofPoint – известный производитель решений для почтовой безопасности. Вредонос получил название NimzaLoader.

В рассылаемых фишинговых письмах использовались персонализированные данные: имена получателей, названия компаний и др. Сообщения содержали ссылки, ведущие якобы на предварительный просмотр PDF-файла, но вместо этого целевые страницы содержали ссылки на исполняемый файл NimzaLoader, который использовал поддельный значок Adobe в попытке обмануть пользователя. 

Как поясняют исследователи, первоначально предполагалось, что найденный троян является очередной версией уже известного BazaLoader. Однако углубленный анализ доказал обратное. В частности, помимо использования другого языка программирования, NimzaLoader не пользуется DGA (алгоритм, по которому программа переключается на новый вредоносный домен после блокировки предыдущего) и применяет JSON в коммуникациях с C&C.

После запуска вредоносная программа обеспечивает злоумышленникам доступ к системе Windows жертвы, а также дает возможность выполнения различных команд, полученных с C&C сервера, включая запуск Cmd, PowerShell и внедрение шелл-кода в запущенные процессы. Проведенные исследования также показывают, что NimzaLoader может использоваться для загрузки и выполнения в системе жертвы ПО Cobalt Strike в качестве вторичной полезной нагрузки.

На сайте ProofPoint можно  ознакомиться с индикаторами компрометации по исследованному образцу NimzaLoader.

Выбранный группировкой вектор атаки для распространения NimzaLoader – рассылка фишинговых писем – продолжает оставаться актуальным и эффективным, поэтому специалисты Angara Professional Assistance напоминают о том, как важно уметь безопасно работать с входящей электронной корреспонденцией.

«Сейчас рынок IT предлагает широкий выбор средств для обеспечения безопасности инфраструктуры информационных систем компаний любого масштаба. Важно понимать, что защищенность активов организации зависит не только от эффективного использования таких средств, но и от цифровой грамотности работников. В этой связи повышение осведомленности персонала в сфере ИБ следует считать неотъемлемой частью политики безопасности предприятия с целью снижения рисков утечки, искажения, уничтожения информации и вирусного заражения», – комментирует директор Центра управления сервисными проектами Angara Professional Assistance Евгений Ельцов.

Angara Professional Assistance в рамках услуги «Антифишинг» предоставляет клиентам возможность обучения работников по вопросам ИБ для поддержания их цифровой грамотности на должном уровне. При этом применяемые технологии позволяют путем анализа реакций пользователей на имитированные фишинговые атаки подбирать индивидуальные обучающие программы.

Подробную информацию об услуге «Антифишинг» можно найти в разделе « MSSP», блок «АНТИФИШИНГ», а также получить у менеджеров компании Angara Professional Assistance по e-mail info@angarapro.ru или телефону 8 (495) 269-26-06.