Ohtlik uus pahavaralaadur, mis võimaldab määrata, kas see on ärisüsteemis või personaalarvutis, on viimastel kuudel hakanud süsteeme kiiresti nakatama.
VMware Carbon Blacki teadlased jälgivad ohtu, mille nimeks on BatLoader, ja väidavad, et selle operaatorid kasutavad tilgutit mitmesuguste pahavaratööriistade levitamiseks, sealhulgas pangatroojalase, teabevarastaja ja Cobalt Strike'i ärakasutamisjärgse tööriistakomplekti ohvrisüsteemides. Ohutegija taktika on olnud majutada pahavara ohustatud veebisaitidel ja meelitada kasutajaid nendele saitidele, kasutades otsingumootori optimeerimise (SEO) mürgistusmeetodeid.
Elamine Maast väljas
BatLoader tugineb suurel määral partii- ja PowerShelli skriptidele, et saada ohvri masinas esmane tugipunkt ja laadida sellele alla muu pahavara. See on kampaania teinud raske tuvastada ja blokeerida, eriti varajases staadiumis, ütlesid VMware Carbon Blacki hallatud tuvastamise ja reageerimise (MDR) meeskonna analüütikud 14. novembril avaldatud aruandes.
VMware ütles, et tema Carbon Black MDR-i meeskond on viimase 43 päeva jooksul täheldanud 90 edukat nakatumist, lisaks arvukatele muudele ebaõnnestunud katsetele, kus ohver laadis alla esialgse nakkusfaili, kuid ei käivitanud seda. Ohvritest üheksa olid äriteenuste sektori organisatsioonid, seitse olid finantsteenuste ettevõtted ja viis töötlevas tööstuses. Teiste ohvrite hulgas olid haridus-, jaemüügi-, IT- ja tervishoiusektori organisatsioonid.
9. novembril teatas eSentire, et selle ohtude otsimise meeskond on täheldanud, kuidas BatLoaderi operaator meelitas ohvreid veebisaitidele, mis maskeeruvad populaarse äritarkvara, nagu LogMeIn, Zoom, TeamViewer ja AnyDesk, allalaadimislehtedeks. Ohustaja levitas nendele veebisaitidele linke reklaamide kaudu, mis ilmusid otsingumootori tulemustes silmapaistvalt kui kasutajad otsisid mõnda neist tarkvaratoodetest.
Turvamüüja ütles, et ühe oktoobri lõpus toimunud intsidendi korral jõudis eSentire'i klient võltsitud LogMeIni allalaadimislehele ja laadis alla Windowsi installeri, mis muuhulgas profiilib süsteemi ja kasutab saadud teavet teise etapi kasuliku koormuse hankimiseks.
"BatLoaderi teeb huvitavaks see, et sellesse on sisse ehitatud loogika, mis määrab, kas ohvri arvuti on personaalarvuti või ettevõtte arvuti," ütleb Keegan Keplinger, eSentire'i TRU uurimisrühma uurimis- ja aruandlusjuht. "Seejärel loobub see olukorrale sobivast pahavara tüübist."
Valikuline kandevõime kohaletoimetamine
Näiteks kui BatLoader tabab personaalarvutit, laadib see alla Ursnifi panga pahavara ja Vidari teabevarguse. Kui see tabab domeeniga liitunud või ettevõtte arvutit, laadib see alla Cobalt Strike'i ja Syncro kaugseire- ja haldustööriista, lisaks pangandustroojalasele ja teabevarastele.
"Kui BatLoader satub personaalarvutisse, jätkab see pettuste, infovarguste ja panganduspõhiste kasulike koormustega nagu Ursnif," ütleb Keegan. "Kui BatLoader tuvastab, et see on organisatsioonikeskkonnas, jätkab see sissetungimise tööriistadega, nagu Cobalt Strike ja Syncro."
Keegan ütleb, et eSentire on täheldanud "palju" hiljutisi küberrünnakuid, mis on seotud BatLoaderiga. Enamik rünnakuid on oportunistlikud ja tabavad kõiki, kes otsivad usaldusväärseid ja populaarseid tasuta tarkvaratööriistu.
"Organisatsioonide ette jõudmiseks kasutab BatLoader mürgitatud reklaame, nii et kui töötajad otsivad usaldusväärset tasuta tarkvara, nagu LogMeIn ja Zoom, satuvad nad selle asemel ründajate kontrollitavatele saitidele, pakkudes BatLoaderit."
Kattub Conti, ZLoaderiga
VMware Carbon Black ütles, et kuigi BatLoaderi kampaanial on mitu unikaalset aspekti, on rünnakuahelal ka mitmeid atribuute, mis sarnanevad Lunavara toimimise jätkamine.
Kattuvused hõlmavad IP-aadressi, mida Conti grupp kasutas Log4j haavatavust võimendavas kampaanias, ja kaughaldustööriista nimega Atera, mida Conti on varasemates toimingutes kasutanud.
Lisaks sarnasustele Contiga on BatLoaderil ka mitmeid kattumisi Zloader, pangandustroojalane mis näib olevat tuletatud Zeusi pangandustroojast 2000. aastate alguses, ütles turvamüüja. Suurimad sarnasused hõlmavad SEO-mürgituse kasutamist ohvrite meelitamiseks pahavaraga koormatud veebisaitidele, Windows Installeri kasutamist esialgse tugipunkti loomiseks ning PowerShelli, pakkskriptide ja muude OS-i binaarfailide kasutamist rünnakuahela ajal.
Mandiant oli esimene, kes teatas BatLoaderist. Veebruaris avaldatud ajaveebipostituses teatas turbemüüja, et ta on jälginud ohutegijat, kes kasutas SEO märksõnadena teemasid "tasuta tootlikkuse rakenduste installimine" ja "tasuta tarkvara arendustööriistade installimine", et meelitada kasutajaid allalaadimissaitidele.
"See esialgne BatLoaderi kompromiss oli mitmeastmelise nakkusahela algus mis annab ründajatele tugipunkti sihtorganisatsioonis, ”ütles Mandiant. Ründajad kasutasid iga etappi, et seadistada ründeahela järgmine etapp, kasutades tuvastamisest kõrvalehoidmiseks selliseid tööriistu nagu PowerShell, Msiexec.exe ja Mshta.exe.
