Een nieuwe phishing-campagne maakt gebruik van valse Microsoft Word-documenten als lokaas om een achterdeur te creëren die is geschreven in de programmeertaal Nim.
“Malware geschreven in ongebruikelijke programmeertalen zet de beveiligingsgemeenschap in het nadeel, omdat de onbekendheid van onderzoekers en reverse engineers hun onderzoek kan belemmeren”, aldus Netskope-onderzoekers Ghanashyam Satpathy en Jan Michael Alcantara.
Op Nim gebaseerde malware is een zeldzaamheid in het dreigingslandschap, hoewel daar de afgelopen jaren langzaam verandering in is gekomen, omdat aanvallers ofwel helemaal opnieuw aangepaste tools blijven ontwikkelen met behulp van de taal, ofwel bestaande versies van hun snode programma’s ernaar overzetten.
Dit is aangetoond in het geval van laders zoals NimzaLoader, Nimbda, IceXLoader, evenals ransomware-families die worden gevolgd onder de namen Dark Power en Kanti.
De door Netskope gedocumenteerde aanvalsketen begint met een phishing-e-mail met een Word-documentbijlage die, wanneer deze wordt geopend, de ontvanger aanspoort om macro’s in te schakelen om de inzet van de Nim-malware te activeren. De afzender van de e-mail vermomt zich als een Nepalese overheidsfunctionaris.
Eenmaal gelanceerd, is het implantaat verantwoordelijk voor het opsommen van lopende processen om het bestaan van bekende analysehulpmiddelen op de geïnfecteerde host vast te stellen en zichzelf onmiddellijk te beëindigen als het er een vindt.
Anders brengt de achterdeur verbindingen tot stand met een externe server die een overheidsdomein uit Nepal nabootst, inclusief het National Information Technology Centre (NITC), en wacht op verdere instructies. De command-and-control (C2)-servers zijn niet langer toegankelijk –
- mail[.]mofa[.]overheid[.]org
- nee[.]overheid[.]org
- mx1[.]Nepal[.]overheid[.]org
- dns[.]overheid[.]org
“Nim is een statisch getypeerde, gecompileerde programmeertaal”, aldus de onderzoekers. “Afgezien van de vertrouwde syntaxis, stellen de cross-compilatiefuncties aanvallers in staat één malwarevariant te schrijven en deze te laten cross-compileren om zich op verschillende platforms te richten.”
De onthulling komt op het moment dat Cyble een social engineering-campagne onthulde die berichten op sociale-mediaplatforms gebruikt om een nieuwe op Python gebaseerde stealer-malware te leveren, genaamd Editbot Stealer, die is ontworpen om waardevolle gegevens te verzamelen en te exfiltreren via een door actoren gecontroleerd Telegram-kanaal.
Terwijl bedreigingsactoren experimenteren met nieuwe soorten malware, zijn er ook phishing-campagnes waargenomen waarbij bekende malware zoals DarkGate en NetSupport RAT via e-mail werd verspreid en gecompromitteerde websites met nep-updates (ook bekend als RogueRaticate), vooral die van een cluster genaamd BattleRoyal.
Enterprise-beveiligingsbedrijf Proofpoint zei dat het tussen september en november 2023 minstens twintig campagnes heeft geïdentificeerd die DarkGate-malware gebruikten, voordat het eerder deze maand overstapte naar NetSupport RAT.
Eén aanvalssequentie die begin oktober 2023 werd geïdentificeerd, valt vooral op door het aan elkaar koppelen van twee verkeersafleveringssystemen (TDS’s) – 404 TDS en Keitaro TDS – om slachtoffers die aan hun criteria voldoen te filteren en om te leiden naar een door een actor beheerd domein dat een payload host die misbruik maakt van CVE-2023- 36025 (CVSS-score: 8,8), een zeer ernstige Windows SmartScreen-beveiligingsbypass die in november 2023 door Microsoft werd aangepakt.
Dit impliceert dat BattleRoyal deze kwetsbaarheid heeft bewapend als een zero-day per maand voordat deze publiekelijk werd onthuld door de technologiegigant.
DarkGate is ontworpen om informatie te stelen en extra malware te downloaden, terwijl NetSupport RAT, dat begon als een bonafide tool voor beheer op afstand, is veranderd in een krachtig wapen dat door kwaadaardige actoren wordt gebruikt om systemen te infiltreren en onbelemmerde afstandsbediening tot stand te brengen.
“Cybercriminele dreigingsactoren [are] het adopteren van nieuwe, gevarieerde en steeds creatievere aanvalsketens – inclusief het gebruik van verschillende TDS-tools – om de levering van malware mogelijk te maken”, aldus Proofpoint.
“Bovendien laat het gebruik van zowel e-mail als nep-updates zien dat de acteur meerdere soorten social engineering-technieken gebruikt in een poging gebruikers ertoe te brengen de laatste payload te installeren.”
DarkGate wordt ook gebruikt door andere bedreigingsactoren zoals TA571 en TA577, waarvan bekend is dat ze allebei een verscheidenheid aan malware verspreiden, waaronder AsyncRAT, NetSupport, IcedID, PikaBot en QakBot (ook bekend als Qbot).
“TA577 bijvoorbeeld, een van de meest prominente Qbot-distributeurs, keerde in september terug naar e-mailbedreigingsgegevens om DarkGate-malware te leveren en sindsdien is waargenomen dat hij PikaBot aflevert in campagnes die doorgaans tienduizenden berichten bevatten”, zegt Selena Larson, senior threat intelligence-analist bij Proofpoint, vertelde The Hacker News.
