Новая угроза: бэкдор Nim маскируется под документы правительства Непала

Атака начинается с фишингового письма, в котором злоумышленники представляются представителями непальских властей и предлагают ознакомиться с "мерами безопасности". Вложение содержит документ Word, который при открытии выглядит пустым, но требует включить макросы для "отображения содержимого". Как только пользователь соглашается, срабатывает автоматический скрипт, запускающий вредоносный код.

Для усложнения анализа код VBA защищен паролем и обфусцирован с помощью функций конкатенации строк и Chr(), что затрудняет его обнаружение антивирусными решениями. Основная вредоносная нагрузка - бэкдор под названием "conhost.exe" - написан на Nim и скомпилирован 20 сентября 2023 года. Nim привлекает злоумышленников своей гибкостью: он компилируется в C, C++ или JavaScript, а его синтаксис напоминает Python, что делает его удобным для разработки вредоносных программ.

Бэкдор действует с правами текущего пользователя, имитируя легитимное подключение к серверам, замаскированным под правительственные домены Непала ([.]govnp[.]org). Перед установкой соединения с командным сервером (C&C) вредоносная программа проверяет, не запущены ли на компьютере инструменты анализа, такие как отладчики или мониторы процессов. Если подозрительная активность не обнаружена, бэкдор собирает информацию о системе, шифрует имя хоста с помощью алгоритма bakery и отправляет данные на сервер злоумышленников.

Команды с сервера передаются через HTTP-запросы GET, а их выполнение контролируется функцией confectionary, которая расшифровывает инструкции с использованием ключа "NPA" (возможно, означающего "Nepal Agent"). Результаты выполнения команд также отправляются обратно на C&C-сервер, что позволяет злоумышленникам получать полный контроль над зараженной системой.

Для обеспечения устойчивости атаки вредоносная программа создает несколько скриптов и запланированных задач. Сначала в автозагрузку помещается VBscript, проверяющий интернет-соединение. Затем запускается цепочка пакетных файлов, которые распаковывают вредоносный исполняемый файл, создают задание в планировщике Windows под названием "ConsoleHostManager" и удаляют следы своей активности.

Эта кампания демонстрирует, что злоумышленники продолжают совершенствовать методы обхода защиты, используя новые языки программирования и сложные цепочки выполнения. Несмотря на встроенные механизмы безопасности в Microsoft Office, такие как блокировка макросов по умолчанию, атаки с их использованием остаются эффективными, особенно когда жертвы сами включают опасное содержимое.

Эксперты рекомендуют проявлять повышенную осторожность при работе с вложениями в электронных письмах, особенно если они запрашивают включение макросов. Организациям следует обучать сотрудников основам кибербезопасности и внедрять многоуровневую защиту, включая анализ поведения процессов и мониторинг сетевой активности. Угрозы на базе Nim, вероятно, будут развиваться, поэтому важно оставаться в курсе новых тактик злоумышленников и своевременно обновлять системы защиты.

Domains

• dns.govnp.org
• mail.mofa.govnp.org
• mx1.nepal.govnp.org
• nitc.govnp.org

MD5

• 32c5141b0704609b9404eff6c18b47bf
• 777fcc34fef4a16b2276e420c5fb3a73
• e2a3edc708016316477228de885f0c39
• ef834a7c726294ce8b0416826e659baa

SHA1

• 0599969ca8b35bb258797aee45fbd9013e57c133
• 3aa803baf5027c57ec65eb9b47daad595ba80bac
• 4cae7160386782c02a3b68e7a9ba78cc5ffb0236
• 5d2e2336bb8f268606c9c8961bed03270150cf65

SHA256

• 1246356d78d47ce73e22cc253c47f739c4f766ff1e7b473d5e658ba1f0fdd662
• 696f57d0987b2edefcadecd0eca524cca3be9ce64a54994be13eab7bc71b1a83
• 88fa16ec5420883a9c9e4f952634494d95f06f426e0a600a8114f69a6127347f
• b5c001cbcd72b919e9b05e3281cc4e4914fee0748b3d81954772975630233a6e