Nim-basierte Malware-Warnung: Decoy Word Docs entfesselt Bedrohungen
In der sich ständig weiterentwickelnden Landschaft der Cyber-Bedrohungen ist kürzlich eine Phishing-Kampagne aufgetaucht. Diese Nim-basierte Malware nutzt gefälschte Microsoft Word-Dokumente, um eine in die Programmiersprache Nim eingebettete Hintertür zu öffnen. Dieser strategische Schachzug ist für die Sicherheitsgemeinschaft von Nachteil, da die Verwendung ungewöhnlicher Programmiersprachen den Untersuchungsprozess für Forscher und Reverse Engineers erschwert.
Nim-basierte Malware auf dem Vormarsch
Die Netskope-Forscher Ghanashyam Satpathy und Jan Michael Alcantara geben Aufschluss über die zunehmende Verbreitung dieser Decoy Word Dokument Malware. Während Nim in der Vergangenheit eine Seltenheit in der Bedrohungslandschaft war, wendet sich das Blatt, da Angreifer entweder eigene Tools von Grund auf entwickeln oder bestehende Schadprogramme in diese Sprache portieren.
Zu den jüngsten Beispielen gehört das Auftauchen von Loadern wie NimzaLoader, Nimbda, IceXLoader und Ransomware-Familien wie Dark Power und Kanti. Diese Entwicklung spiegelt einen wachsenden Trend bei Cyberangreifern wider, ihre Techniken zu diversifizieren, was die Erkennung und Analyse für Cybersicherheitsexperten erschwert.
Nim-Sprache bei Cyberangriffen
Die von Netskope identifizierte Phishing-Kampagne beginnt mit einem scheinbar harmlosen Word-Dokument im Anhang einer Phishing-E-Mail. Nach dem Öffnen des Dokuments wird der Empfänger aufgefordert, Makros zu aktivieren, was die Bereitstellung der Nim-basierten Malware auslöst. Der Absender der E-Mail tarnt sich als nepalesischer Regierungsbeamter, um den Anschein von Legitimität zu erwecken.
Sobald die Malware aktiviert ist, übernimmt sie die Aufgabe, die auf dem infizierten Host laufenden Prozesse aufzuzählen. Ihr primäres Ziel ist es, das Vorhandensein bekannter Analysetools zu erkennen und sich sofort zu beenden, wenn welche entdeckt werden. Anschließend stellt die Backdoor Verbindungen mit einem Remote-Server her, der eine nepalesische Regierungsdomäne imitiert, darunter das National Information Technology Center (NITC), und wartet auf weitere Anweisungen.
Die mit dieser Kampagne verbundenen Command-and-Control (C2)-Server sind folgende:
- mail[.]mofa[.]govnp[.]org
- nitc[.]govnp[.]org
- mx1[.]nepal[.]govnp[.]org
- dns[.]govnp[.]org
Methoden zur Verbreitung von Nim-Malware
Die Forscher betonen die Techniken, die von Nim-Malware verwendet werdenund beschreiben sie als eine statisch typisierte kompilierte Programmiersprache. Abgesehen von der vertrauten Syntax ermöglichen es die kompilierungsübergreifenden Funktionen von Nim den Angreifern, eine einzige Malware-Variante zu schreiben, die dann für verschiedene Plattformen kompiliert werden kann. Diese Flexibilität trägt zur Wirksamkeit dieser Angriffe auf bösartige Dokumenteund ermöglicht es den Angreifern, ihre Reichweite zu maximieren.
Sich entwickelnde Cyber-Bedrohungslandschaft
Diese Enthüllung erfolgt inmitten eines breiteren Spektrums von Cyberbedrohungen, wie eine von Cyble aufgedeckte Social-Engineering-Kampagne zeigt. Bei dieser Kampagne dienen Social-Media-Plattformen als Vehikel für die Verbreitung einer neuen Python-basierten Stealer-Malware namens Editbot Stealer. Diese Malware ist darauf ausgelegt, wertvolle Daten über einen von einem Akteur kontrollierten Telegram-Kanal zu sammeln und zu exfiltrieren.
Während Bedrohungsakteure mit neuen Malware-Stämmen experimentieren, gibt es weiterhin traditionelle Phishing-Kampagnen. Vor allem bekannte Malware wie DarkGate und NetSupport RAT wird über E-Mails und kompromittierte Websites mit gefälschten Update-Ködern verbreitet - eine Taktik, die als RogueRaticate bekannt ist. Proofpoint, eine Sicherheitsfirma für Unternehmen, identifizierte mindestens 20 Kampagnen die zwischen September und November 2023 DarkGate-Malware einsetzten, bevor sie im darauffolgenden Monat zu NetSupport RAT übergingen.
Erweiterte Taktiken bei Phishing-Kampagnen
Proofpoint zeigt, dass in Phishing-Kampagnen fortschrittliche Taktiken eingesetzt werden, wobei die Angreifer DarkGate und NetSupport RAT nutzen. In einer bemerkenswerten Sequenz im Oktober 2023 setzten die Angreifer zwei Traffic-Delivery-Systeme (TDS) ein, nämlich 404 TDS und Keitaro TDS, um die Opfer zu filtern und auf eine von den Akteuren betriebene Domain umzuleiten. Die Domain enthielt eine Nutzlast, die die Sicherheitslücke CVE-2023-36025 (CVSS-Score: 8.8) ausnutzte. Diese hochgefährliche Sicherheitsumgehung von Windows SmartScreen wurde von Microsoft im November 2023 behoben.
Bemerkenswert ist, dass BattleRoyal, die Gruppe hinter DarkGate, diese Schwachstelle bereits einen Monat vor ihrer Veröffentlichung durch Microsoft als Zero-Day-Waffe nutzte. DarkGate konzentriert sich auf den Diebstahl von Informationen und das Herunterladen zusätzlicher Malware-Nutzlasten, während NetSupport RAT, ursprünglich ein Tool zur Fernverwaltung, sich zu einer wirksamen Waffe für böswillige Akteure entwickelt hat, die eine uneingeschränkte Fernsteuerung anstreben. Daher ist die Umsetzung von Wachsamkeitsmaßnahmen unerlässlich für Schutz vor dokumentenbasierter Malware.
Diversifizierung der Cyber-Bedrohungen
Die Landschaft der Bedrohungen der Cybersicherheit 2024 entwickelt sich weiter, wobei Bedrohungsakteure neue, vielfältige und zunehmend kreative Angriffsketten einsetzen. Proofpoint hebt die Verwendung verschiedener TDS-Tools in Verbindung mit E-Mail- und gefälschten Update-Ködern hervor und verdeutlicht damit die Vielschichtigkeit von fortschrittlichen Umgehungstechniken die eingesetzt werden, um Benutzer zur Installation der endgültigen Nutzlast zu überreden.
DarkGate wird nicht nur von BattleRoyal genutzt, sondern auch von anderen Bedrohungsakteuren, darunter TA571 und TA577. Dies wird dann genutzt, um eine Reihe von Malware wie AsyncRAT, NetSupport RAT, IcedID, PikaBot und QakBot (auch bekannt als Qbot) zu verbreiten. Informiert bleiben über Aktualisierungen der Cyber-Bedrohungslandschaft ist entscheidend für die Aufrechterhaltung robuster Cybersicherheitsmaßnahmen.
Schlussfolgerung
Zusammenfassend lässt sich sagen, dass die Cybersicherheitslandschaft ein dynamisches Zusammenspiel von Taktiken erlebt, wobei Nim-basierte Malware als neuer Akteur in der Welt der Cyber-Bedrohungen auftritt. Da Bedrohungsakteure ihre Strategien diversifizieren und verfeinern, müssen Unternehmen wachsam bleiben und bewährte Verfahren der Cybersicherheit um sich vor den sich entwickelnden Risiken zu schützen.
Zu den Quellen für diesen Beitrag gehören Artikel in den Hacker-Nachrichten und CyberM.