研究人员发现了用Nim编程语言编写的恶意软件

网络安全研究人员展开了一场“有趣的电子邮件攻势”，该攻势由一名威胁参与者发起，该参与者已开始传播一种用Nim编程语言编写的新恶意软件。

Proofpoint研究人员将其命名为“NimzaLoader”，这是在威胁领域发现的罕见Nim恶意软件实例之一。

研究人员说：“恶意软件开发人员可能会选择使用一种罕见的编程语言来避免检测，因为逆向工程师可能不熟悉Nim的实现，或者专注于为其开发检测，因此工具和沙盒可能难以分析其样本。”。

校对是跟踪运动的运营商在绰号“TA800”，谁说，谁开始分发NimZalaADER从2021年2月3日开始。在最新一轮活动之前，TA800自2020年4月以来主要使用BazaLoader。

虽然APT28之前曾被认为与使用基于Nim的加载程序交付Zebrocy恶意软件有关，但NimzaLoader的出现是另一个迹象，表明恶意行为者正在不断重新配置其恶意软件库以避免被发现。

Proofpoint的发现也得到了沃尔玛威胁情报团队研究人员的独立证实，他们将该恶意软件命名为“Nimar Loader”

与BazaLoader的案例一样，2月3日发现的活动利用了个性化的电子邮件钓鱼诱饵，其中包含指向假定PDF文档的链接，该文档将收件人重定向到Slack上托管的NimzaLoader可执行文件。该可执行文件还利用假冒的Adobe图标作为其社交工程技巧的一部分，欺骗用户下载恶意软件。

一旦被打开，恶意软件的设计目的是让攻击者能够访问受害者的Windows系统，以及执行从命令和控制服务器—；包括执行PowerShell命令，将外壳代码注入正在运行的进程，甚至部署其他恶意软件。

Proofpoint和沃尔玛收集的其他证据表明，NimzaLoader也被用来下载和执行Cobalt Strike作为其第二有效载荷，这表明威胁参与者正在将不同的战术整合到其活动中。

“是[…]不清楚Nimzaloader是否只是TA800和#8212雷达上的一个亮点；以及更广泛的威胁范围—；或者Nimzaloader是否会像BazaLaoder获得广泛采用一样被其他威胁行为者采用，”研究人员总结道。