Выявлено вредоносное ПО, написанное на языке программирования Nim

Дата: 12.03.2021. Автор: Артем П. Категории: Новости по информационной безопасности
Выявлено вредоносное ПО, написанное на языке программирования Nim

Специалисты по кибербезопасности компании Proofpoint обнаружили «интересную киберпреступную кампанию», в рамках которой по электронной почте происходит распространение вредоносного ПО, написанного на языке программирования Nim.

Эксперты Proofpoint назвали выявленное вредоносное ПО NimzaLoader. Это крайне редкий случай, когда в ландшафте угроз обнаруживается вредоносное ПО, написанное на Nim.

«Разработчики вредоносного ПО нечасто используют редкие языки программирования. Обычно это делается для избегания обнаружения, потому что многие реверс-инженеры попросту не знакомы с реализацией Nim, поэтому используемые ими инструменты и песочницы испытывают серьезные проблемы при анализе образцов таких вредоносных программ», – отмечают специалисты Proofpoint.

Сообщается, что операторы вредоносного ПО начали распространение NimzaLoader примерно 3 февраля 2021 года. Ранее хакерская группировка TA800 (APT28) использовала вредонос BazaLoader. Несмотря на то, что хакеры из APT28 ранее были связаны с доставкой вредоносного ПО Zebrocy с применением загрузчиков, также написанных на Nim, появление NimzaLoader – это явный признак того, что киберпреступники постоянно обновляют свой арсенал вредоносного ПО, чтобы успешно избегать обнаружения.

Как и в случае с BazaLoader, хакеры из группировки TA800 при распространении загрузчика NimzaLoader применяют традиционные персонализированные фишинговые приманки – ссылки на PDF-документы перенаправляли жертву на исполняемый файл NimzaLoader, который был размещен на Slack. PDF-документ имеет поддельный значок Adobe, что заставляет получателя поверить в подлинность файла.

После открытия документа вредоносное ПО предоставляет доступ киберпреступникам в систему Windows жертвы – хакеры имеют возможность выполнять произвольные команды, внедрять шелл-коды в запущенные процессы, развертывать дополнительные вредоносные программы.

Специалисты компании Proofpoint отмечают, что результаты проведенного исследования показывают факт использования вредоносного ПО NimzaLoader для загрузки и выполнения Cobalt Strike в качестве вторичной полезной нагрузки. Это говорит о том, что киберпреступники применяют различные тактики в своих кампаниях.

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *