一个新的钓鱼活动是利用诱饵微软Word文档提供一个后门写在Nim程序设计语言。
“在不常见的编程语言编写的恶意软件使安全社区处于不利地位,因为研究人员和逆向工程师的不熟悉可以阻碍他们的调查,”Netskope研究人员Ghanashyam Satpathy和扬·迈克尔·阿尔坎塔拉说。
基于Nim的恶意软件在威胁领域一直是罕见的,尽管近年来随着攻击者继续使用该语言从头开始开发自定义工具或将其恶意程序的现有版本移植到它,这种情况正在慢慢改变。
这一点在NimzaLoader、Nimbda、IceXLoader等加载程序以及以Dark Power和Kanti名义跟踪的勒索软件家族中得到了证明。
Netskope记录的攻击链始于一封包含Word文档附件的网络钓鱼电子邮件,当打开时,会敦促收件人启用宏来激活Nim恶意软件的部署。电子邮件发送者伪装成尼泊尔政府官员。
一旦启动,植入是负责枚举正在运行的进程,以确定存在已知的分析工具在受感染的主机上,并迅速终止本身,如果它发现一个。
否则,后门程序会与一个模仿尼泊尔政府域(包括国家信息技术中心(NITC))的远程服务器建立连接,并等待进一步的指令。指挥和控制(C2)服务器已无法访问:
- mail[.]mofa[.]govnp[.]org
- nitc[.]govnp[.]org
- mx1[.]nepal[.]govnp[.]org
- dns[.]govnp[.]org
“Nim是一种静态类型的编译程序设计语言,”研究人员说。“除了其熟悉的语法,它的交叉编译功能允许攻击者编写一个恶意软件变种,并让它交叉编译,以针对不同的平台。”
披露来作为Cyble揭示了一个社会工程活动,利用社交媒体平台上的消息提供一个新的基于Python的窃取恶意软件称为Editbot Stealer,其目的是通过演员控制的电报通道收获和外泄有价值的数据。
即使威胁行为者正在试验新的恶意软件菌株,网络钓鱼活动也已被观察到通过电子邮件分发已知的恶意软件,如DarkGate和NetSupport RAT和妥协的网站与假更新诱惑(又名RogueRaticate),特别是那些从一个集群被称为BattleRoyal。
企业安全公司Proofpoint表示,在本月早些时候切换到NetSupport RAT之前,它确定了9月至11月2023年期间使用DarkGate恶意软件的至少20个活动。
在2023年10月初确定的一个攻击序列特别突出的链接两个流量交付系统(TDS)-404电话和数据系统和Keitaro电话和数据系统-过滤和重定向受害者满足他们的标准主机的有效载荷,利用CVE-2023-36025(CVSS评分:8.8),一个高严重的Windows SmartScreen安全绕过,由微软在2023年11月解决。
这意味着BattleRoyal在这个漏洞被科技巨头公开披露之前的一个月就将这个漏洞作为零日武器。
DarkGate的目的是窃取信息和下载额外的恶意软件有效载荷,而NetSupport老鼠,这开始了作为一个真正的远程管理工具,已经蜕变成一个强大的武器由恶意行为者挥舞渗透系统,并建立不受约束的远程控制。
Proofpoint表示:“网络犯罪威胁行为者【正在】采用新的、多样的、越来越有创意的攻击链——包括使用各种电话和数据系统工具——以实现恶意软件交付。”
“此外,同时使用电子邮件和假更新诱饵表明,演员使用多种类型的社会工程技术,试图让用户安装最终的有效载荷。”
DarkGate也被TA571和TA577等其他威胁参与者所使用,这两个组织都被称为传播各种恶意软件,包括AsyncRAT、NetSupport RAT、IcedID、PikaBot和QakBot(又名Qbot)。
“TA577例如,最突出的Qbot分销商之一,在九月返回到电子邮件威胁数据提供DarkGate恶意软件,并已被观察到提供PikaBot在运动,通常有成千上万的消息,”赛琳娜·拉森,高级威胁情报分析师在Proofpoint,告诉黑客新闻。