Новая фишинговая кампания использует ложные документы Microsoft Word в качестве приманки для доставки бэкдора, написанного на языке программирования Nim.
"Вредоносное ПО, написанное на необычных языках программирования, ставит сообщество безопасности в невыгодное положение, поскольку незнание исследователями и инженерами обратного анализа может помешать их расследованию", - сказали исследователи Netskope Ганашьям Сатпати и Ян Майкл Алькантара.
Вредоносное ПО на основе Nim было редкостью в среде угроз, хотя в последние годы ситуация постепенно меняется, поскольку злоумышленники продолжают либо разрабатывать пользовательские инструменты с нуля, используя язык, либо переносить на него существующие версии своих вредоносных программ.
Это было продемонстрировано на примере таких загрузчиков, как NimzaLoader, Nimbda, IceXLoader, а также семейств программ-вымогателей, отслеживаемых под названиями Dark Power и Kanti.
Цепочка атак, задокументированная Netskope, начинается с фишингового электронного письма, содержащего вложение документа Word, которое при открытии побуждает получателя включить макросы для активации развертывания вредоносного ПО на основе Nim. Отправитель электронной почты выдает себя за государственного чиновника Непала.
После запуска имплантат отвечает за перечисление запущенных процессов, чтобы определить наличие известных инструментов анализа на зараженном хосте и незамедлительно завершить работу, если обнаружит таковой.
В противном случае бэкдор устанавливает соединения с удаленным сервером, имитирующим государственный домен Непала, включая Национальный центр информационных технологий (NITC), и ожидает дальнейших инструкций. Серверы командования и контроля (C2) больше недоступны -
- почта [.]mofa [.]govnp [.]org
- nitc[.]govnp [.]org
- mx1 [.]nepal [.]govnp [.]org
- dns[.]govnp [.]org
Раскрытие происходит после того, как Cyble раскрыла кампанию социальной инженерии, которая использует сообщения на платформах социальных сетей для доставки нового вредоносного ПО на основе Python под названием Editbot Stealer, предназначенного для сбора и эксфильтрации ценных данных через Telegram-канал, контролируемый участниками.
Даже в то время, когда злоумышленники экспериментируют с новыми разновидностями вредоносного ПО, также были замечены фишинговые кампании, распространяющие известные вредоносные программы, такие как DarkGate и NetSupport RAT, по электронной почте и скомпрометированные веб-сайты с поддельными приманками для обновления (также известными как RogueRaticate), особенно из кластера под названием BattleRoyal.
Компания по корпоративной безопасности Proofpoint заявила, что выявила по меньшей мере 20 кампаний, в которых использовалось вредоносное ПО DarkGate в период с сентября по ноябрь 2023 года, прежде чем перейти на NetSupport RAT в начале этого месяца.
Одна последовательность атак, выявленная в начале октября 2023 года, особенно выделяется тем, что объединяет две системы доставки трафика (TDSS) – 404 TDS и Keitaro TDS – для фильтрации и перенаправления жертв, соответствующих их критериям, на управляемый субъектом домен, в котором размещена полезная нагрузка, использующая CVE-2023-36025 (оценка CVSS: 8,8), высокозатратный обход системы безопасности Windows SmartScreen, который был устранен Microsoft в ноябре 2023 года.
Это означает, что BattleRoyal использовала эту уязвимость как нулевой день за месяц до того, как технологический гигант публично раскрыл ее.
DarkGate предназначен для кражи информации и загрузки дополнительных полезных пакетов вредоносного ПО, в то время как NetSupport RAT, который начинался как добросовестный инструмент удаленного администрирования, превратился в мощное оружие, которым владеют злоумышленники для проникновения в системы и установления неограниченного удаленного контроля.
"Киберпреступник киберпреступники [являются] принятие нового, разнообразного, творческого и все атаки цепочки, в том числе использование различных ТДС сервис – возможность доставки вредоносного" всех размеров сказал.
"Кроме того, использование как электронной почты, так и поддельных обновлений-приманок показывает, что злоумышленник использует несколько типов методов социальной инженерии в попытке заставить пользователей установить конечную полезную нагрузку".
DarkGate также использовался другими участниками угроз, такими как TA571 и TA577, оба из которых, как известно, распространяют различные вредоносные программы, включая AsyncRAT, NetSupport, IcedID, PikaBot и QakBot (он же Qbot).
"Например, TA577, один из самых известных распространителей Qbot, в сентябре вернулся к данным об угрозах электронной почты для доставки вредоносного ПО DarkGate, и с тех пор было замечено, что он использует PikaBot в кампаниях, которые обычно содержат десятки тысяч сообщений", - рассказала The Hacker News Селена Ларсон, старший аналитик по анализу угроз в Proofpoint.
