Un gruppo di minacce legato a un gruppo di hacker chiamato Tropic Trooper è stato individuato mentre utilizzava un malware precedentemente non documentato e codificato in lingua Nim per colpire gli obiettivi nell’ambito di una campagna appena scoperta.
Il nuovo loader, soprannominato Nimbda, è “in bundle con uno strumento di greyware in lingua cinese ‘SMS Bomber’, molto probabilmente distribuito illegalmente nel web di lingua cinese“, ha dichiarato in un rapporto la società israeliana di cybersicurezza Check Point.
“Chiunque abbia creato il loader Nim ha prestato particolare attenzione a dargli la stessa icona eseguibile di SMS Bomber che rilascia ed esegue“, hanno dichiarato i ricercatori. “Pertanto, l’intero pacchetto funziona come un binario troianizzato“.
SMS Bomber, come indica il nome, consente all’utente di inserire un numero di telefono (non il proprio) in modo da inondare il dispositivo della vittima di messaggi e renderlo potenzialmente inutilizzabile in un attacco denial-of-service (DoS).
Il fatto che il binario funga da SMS Bomber e da backdoor suggerisce che gli attacchi siano di natura altamente mirata.
Definendo il collettivo di lingua cinese “notevolmente sofisticato e ben equipaggiato“, l’anno scorso Trend Micro ha sottolineato la capacità del gruppo di evolvere i suoi TTP per rimanere sotto i radar e affidarsi a un’ampia gamma di strumenti personalizzati per compromettere i suoi obiettivi.
L’ultima catena di attacchi documentata da Check Point inizia con lo strumento SMS Bomber manomesso, il Nimbda loader, che lancia un eseguibile incorporato, in questo caso il payload legittimo di SMS Bomber, iniettando anche un pezzo separato di shellcode in un processo notepad.exe.
Questo dà il via a un processo di infezione a tre livelli che comporta il download di un binario successivo da un indirizzo IP offuscato specificato in un file markdown (“EULA.md”) ospitato in un repository GitHub o Gitee controllato dall’aggressore.
Il binario recuperato è una versione aggiornata di un trojan chiamato Yahoyah, progettato per raccogliere informazioni sulle reti wireless locali nelle vicinanze della macchina vittima e altri metadati di sistema, per poi esfiltrare i dettagli a un server di comando e controllo (C2).
Yahoyah, da parte sua, funge anche da tramite per recuperare il malware della fase finale, che viene scaricato sotto forma di immagine dal server C2. Il payload codificato in modo steganografico è una backdoor nota come TClient, già utilizzata dal gruppo in campagne precedenti.
“Il gruppo di attività osservate delinea il quadro di un attore mirato e determinato con un obiettivo chiaro in mente”, concludono i ricercatori.
“Di solito, quando strumenti benigni di terze parti (o che sembrano tali) vengono scelti a mano per essere inseriti in una catena di infezione, sono scelti per essere i meno appariscenti possibile; la scelta di uno strumento ‘SMS Bomber’ per questo scopo è inquietante e racconta un’intera storia nel momento in cui si osa estrapolare un movente e una vittima designata“.
