一个新的网络钓鱼活动正在利用诱饵 Microsoft Word 文档作为诱饵,提供用 Nim 编程语言编写的后门。
“用不常见的编程语言编写的恶意软件使安全社区处于不利地位,因为研究人员和逆向工程师的不熟悉可能会阻碍他们的调查,”Netskope研究人员Ghanashyam Satpathy和Jan Michael Alcantara说。
基于 Nim 的恶意软件在威胁领域一直很少见,尽管近年来这种情况一直在缓慢改变,因为攻击者继续使用该语言从头开始开发自定义工具,或者将其邪恶程序的现有版本移植到该语言中。
NimzaLoader、Nimbda、IceXLoader 等加载程序以及以 Dark Power 和 Kanti 为名跟踪的勒索软件系列已经证明了这一点。
Netskope 记录的攻击链始于一封包含 Word 文档附件的网络钓鱼电子邮件,该附件在打开时会敦促收件人启用宏以激活 Nim 恶意软件的部署。电子邮件发件人伪装成尼泊尔政府官员。
启动后,植入程序负责枚举正在运行的进程,以确定受感染主机上是否存在已知的分析工具,并在发现时立即自行终止。
否则,后门程序将与模拟尼泊尔政府域的远程服务器建立连接,包括国家信息技术中心 (NITC) 并等待进一步的指示。命令和控制 (C2) 服务器不再可访问 -
-
邮件[.]外交部[.]govnp[.]组织
-
NITC[.]govnp[.]组织
-
MX1[.]尼泊尔[.]govnp[.]组织
-
DNS[.]govnp[.]组织
“Nim是一种静态类型的编译编程语言,”研究人员说。“除了熟悉的语法外,它的交叉编译功能还允许攻击者编写一个恶意软件变体,并将其交叉编译以针对不同的平台。
Cyble透露了一项社会工程活动,该活动利用社交媒体平台上的消息来提供一种新的基于Python的窃取恶意软件,称为Editbot Stealer,旨在通过演员控制的Telegram频道收集和泄露有价值的数据。
即使威胁行为者正在试验新的恶意软件,也观察到网络钓鱼活动通过电子邮件分发已知的恶意软件,例如 DarkGate 和 NetSupport RAT,并使用虚假更新诱饵(又名 RogueRaticate)分发受感染的网站,尤其是来自称为 BattleRoyal 的集群的网站。
企业安全公司 Proofpoint 表示,在本月早些时候切换到 NetSupport RAT 之前,它在 2023 年 9 月至 11 月期间发现了至少 20 个使用 DarkGate 恶意软件的活动。
2023 年 10 月初发现的一个攻击序列特别突出,因为它链接了两个流量传送系统 (TDS)——404 TDS 和 Keitaro TDS——以过滤符合其标准的受害者并将其重定向到托管有效负载的行为者运营的域,该有效负载利用了 CVE-2023-36025(CVSS 分数:8.8),这是 Microsoft 于 2023 年 11 月解决的高严重性 Windows SmartScreen 安全绕过。
这意味着 BattleRoyal 将这个漏洞武器化为零日漏洞,然后才被这家科技巨头公开披露。
DarkGate 旨在窃取信息并下载额外的恶意软件有效载荷,而 NetSupport RAT 最初是一个真正的远程管理工具,现在已经蜕变成一种强大的武器,由恶意行为者用来渗透系统并建立不受约束的远程控制。
Proofpoint表示:“网络犯罪威胁行为者正在采用新的、多样化的、越来越有创意的攻击链,包括使用各种TDS工具,以实现恶意软件的传播。
“此外,电子邮件和虚假更新诱饵的使用表明,攻击者使用多种类型的社会工程技术,试图让用户安装最终有效载荷。
DarkGate 也被 TA571 和 TA577 等其他威胁行为者使用,众所周知,这两种威胁行为者都会传播各种恶意软件,包括 AsyncRAT、NetSupport RAT、IcedID、PikaBot 和 QakBot(又名 Qbot)。
“例如,TA577 是最著名的 Qbot 分销商之一,它在 9 月份恢复了电子邮件威胁数据以提供 DarkGate 恶意软件,此后一直被观察到在通常包含数万条消息的活动中提供 PikaBot,”Proofpoint 的高级威胁情报分析师 Selena Larson 告诉 The Hacker News。